Общие команды IPS/IDS
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
CONFIG-IPS-POLICY
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"
enable
Данной командой активируется сервис IPS/IDS и его правила.
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
IPS/IDS сервис не активирован.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
esr(config-ips)# enable
show security ips counters
Командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters TCP flows processed : 34687 Alerts generated : 456 Blocked by ips engine : 78 Accepted by ips engine : 1356436
Настройка политики IPS/IDS
external network-group
Данной командой устанавливается профиль IP-адресов, которые сервис IPS/IDS будет считать ненадежными.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME>
no external network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
esr(config-ips-policy)# external network-group WAN
protect network-group
Данной командой устанавливается профиль IP-адресов, которые будет защищать сервис IPS/IDS.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
esr(config-ips-policy)# protect network-group LAN
security ips policy
Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
Параметры
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ips policy OFFICE
Настройка IPS
logging storage-device
Данной командой задается имя USB диска, на который будут записываться лог-файлы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) останавливает запись лог-файлов.
Синтаксис
logging storage-device <DEVICE_NAME>
no logging storage-device
Параметры
<DEVICE_NAME> – имя usb накопителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# logging storage-device usb://DATA
security ips
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security ips
performance max
Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т.д.).
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Значение по умолчанию
ESR-10/12V/12VF/14VF – 1 ядро;
ESR-20/21/100/200 – 2 ядра;
ESR-1000/1200/1500 – 6 ядер;
ESR-1510 – 11 ядер;
ESR-1700 – 21 ядро.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# perfomance max
policy
Данной командой назначается созданная ранее политика настроек сервиса IPS/IDS.
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME>
no policy
Параметры
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# policy OFFICE
service-ips enable
Данная команда используется для включение сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
[no] service-ips enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-MULTILINK
Пример
esr(config-if-gi)# service-ips enable
Настройка автообновления правил IPS/IDS из внешних источников
auto-upgrade
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# auto-upgrade
upgrade interval
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного url.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# upgrade interval 36
url
Команда используется для задания URL-ссылки.
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.
В качестве URL-ссылки может быть указан:
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config
- каталог на сервере содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/
user-server
Данной командой задаётся имя пользовательского сервера обновлений правил IPS/IDS и осуществляется переход в режим конфигурирования параметров пользовательского сервера обновлений.
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила полученные с этого сервера.
Синтаксис
user-server <WORD>
no user-server {<WORD>|all}
Параметры
<WORD> имя сервера задается строкой от 1 до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
esr(config-ips-auto-upgrade)# user-server ET-Open
Настройка пользовательских правил IPS/IDS
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop }
no action
Параметры:
alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение
reject – прохождение трафика запрещается. Если это TCP трафик отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение
pass – прохождение трафика разрешается;
drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# action permit
destination-address
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит ip адреса назначения, задаётся строкой до 31 символа.
destination-address policy-object-group protect устанавливает в качестве адресов назначения, protect адреса определенные в политике IPS/IDS
destination-address policy-object-group external устанавливает в качестве адресов назначения, external адреса определенные в политике IPS/IDS
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# destination-address ip 10.10.10.1
destination-port
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port {any | <PORT> | object-group <OBJ-GR-NAME> }
no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535].
<OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# destination-port 22
direction
Данной командой устанавливается направление потока трафика, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip }
no direction
Параметры
one-way – трафик передаётся в одну сторону.
round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# direction one-way
ip dscp
Данной командой устанавливается значение кода DSCP, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip dscp 8
ip http
Данной командой устанавливаются значения ключевых слов протокола HTTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
- accept
- accept-enc
- accept-lang
- client-body
- connection
- content-len
- content-type
- cookie
- file-data
- header
- header-names
- host
- method
- protocol
- referer
- request-line
- response-line
- server-body
- start
- stat-code
- stat-msg
- uri
- urilen
- urilen comparison-operator
- user-agent
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X / Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content «HTTP/1.0» esr(config-ips-category-rule)# ip http protocol
ip icmp code
Данной командой устанавливается значение ICMP CODE, при котором сработает правило
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp code 5
ip icmp code comparison-operator
Оператор сравнения для команды ip icmp code. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than }
[no] ip icmp code comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than
ip icmp id
Данной командой устанавливается значение ICMP ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp id 65000
ip icmp sequence id
Данной командой устанавливается значение ICMP sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp sequence-id 8388608
ip icmp type
Данной командой устанавливается значение ICMP TYPE, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp type 12
ip icmp type comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than }
[no] ip icmp type comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than
ip protocol-id
Данной командой устанавливается идентификационный номер IP-протокола, трафик которого будет обрабатываться в данном правиле.
Данная команда применима только для значения protocol any.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip protocol-id 250
ip tcp acknowledgment-number
Данной командой устанавливается значение TCP Acknowledgment-Number, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM>
[no] ip tcp acknowledgment-number
Параметры
<<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32
ip tcp sequence-id
Данной командой устанавливается значение TCP Sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp sequence-id 2542
ip tcp window-size
Данной командой устанавливается значение TCP Window Size, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp window-size 50
ip ttl
Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip ttl 8
ip ttl comparison-operator
Оператор сравнения для команды ip ttl. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than }
[no] ip ttl comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than
meta classification-type
Данная команда определяет классификацию события, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }
[no] mera log-message
Параметры
not-suspicious – Не подозрительный трафик.
unknown – Неизвестный трафик.
bad-unknown – Потенциально плохой трафик.
attempted-recon –Попытка утечки информации.
successful-recon-limited – Утечка информации.
successful-recon-largescale – Масштабная утечка информации.
attempted-dos – Попытка отказа в обслуживании.
successful-dos – Отказ в обслуживании.
attempted-user – Попытка получения привилегий пользователя.
unsuccessful-user – Безуспешная попытка получения привилегий пользователя.
successful-user – Успешная попытка получения привилегий пользователя.
attempted-admin – Попытка получения привилегий администратора.
successful-admin – Успешная попытка получения привилегий администратора.
rpc-portmap-decode – Декодирование запроса RPC.
shellcode-detect – Обнаружен исполняемый код.
string-detect – Обнаружена подозрительная строка.
suspicious-filename-detect – Было обнаружено подозрительное имя файла.
suspicious-login – Была обнаружена попытка входа с использованием подозрительного имени пользователя.
system-call-detect – Обнаружен системный вызов.
tcp-connection – Обнаружено TCP-соединение.
trojan-activity – Был обнаружен сетевой троян.
unusual-client-port-connection – Клиент использовал необычный порт.
network-scan – Обнаружение сетевого сканирования.
denial-of-service – Обнаружение атаки отказа в обслуживании.
non-standard-protocol – Обнаружение нестандартного протокола или события.
protocol-command-decode – Обнаружена попытка шифрования.
web-application-activity – Доступ к потенциально уязвимому веб-приложению.
web-application-attack – Атака на веб-приложение.
misc-activity – Прочая активность.
misc-attack – Прочие атаки.
icmp-event – Общее событие ICMP.
inappropriate-content – Обнаружено неприемлемое содержание.
policy-violation – Потенциальное нарушение корпоративной конфиденциальности.
default-login-attempt – Попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# meta classification-type misc-attack
meta log-message
Данная команда определяет текстовое сообщение, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# meta log-message «Possible SlowLorys attack»
payload content
Данной командой можно указать содержимое IP-пакетов, при совпадении с которым будет срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT>
[no] payload content <CONTENT>
Параметры
<CONTENT> -текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content «virus»
payload data-size
Данной командой устанавливается размер содержимого пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload data-size 1024
payload data-size comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than }
[no] payload data-size comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than
payload depth
Данная команда указывает сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH>
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content «abc» esr(config-ips-category-rule)# payload depth 3
Под действие правила попадут пакеты с содержимым «abcdef», «abc123», «abcabcabc» и т.д.
payload no-case
Данная команда указывает не различать прописные и заглавные буквы в описании содержимого пакетов. Команда используется только совместно с командой payload content.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case
[no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content «virus» esr(config-ips-category-rule)# payload no-case
Под действие правила попадут пакеты с содержимым «virus», «VIRUS», «ViRuS» и т.д.
payload offset
Данная команда указывает число байт смещения от начала содержимого пакета, с которого начнется проверка. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload depth.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET>
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content «abc» esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3
Под действие правила попадут пакеты с содержимым «123abcdef», «defabc», «abcabcabc» и т.д.
protocol
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | udp }
[no] protocol
Параметры
any – правило будет срабатывать для любых протоколов.
ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id.
icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp.
http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http.
tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp.
udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# protocol udp
rule
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..256].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)#
security ips-category user-defined
Данной командой создается набор пользовательских правил сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования этого набора.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)#
source-address
Данной командой устанавливаются IP-адреса отправителей, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит ip адреса отправителя, задаётся строкой до 31 символа.
destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS
destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16
source-port
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port {any | <PORT> | object-group <OBJ-GR-NAME> }
no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
<OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# source-port 22
threshold count
Данной командой устанавливается пороговое значение количества пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold count 1024
threshold second
Данной командой устанавливается интервал времени, для которого считается пороговое значение. пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold second 1
threshold track
Данной командой устанавливается по адресу отправителя или получателя будут считаться пакеты, для которых устанавливаются пороговые значения. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by-src | by-dst }
[no] threshold track
Параметры
by-src – считать пороговое значение для пакетов с одинаковым IP-отправителя.
by-dst – считать пороговое значение для пакетов с одинаковым IP-получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold track by-src
threshold type
Данной командой устанавливается метод обработки пороговых значений. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both }
[no] threshold type
Параметры
threshold – выдавать сообщение каждый раз по достижении порога.
limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>.
both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold
Сообщение будет генерироваться на каждый Х*1025 пакет, приходящий за 1 секунду с одного ip-адреса.
Настройка расширенных пользовательских правил
rule-advances
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE-ADVANCED. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)#
rule-text
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE>
[no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил символ '' требуется заменить на символ '.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
esr(config-ips-category-rule-advanced)# rule-text «alert tcp any any -> $HOME_NET any (msg: 'ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet'; flow: established, to_server; content:'_auth'; depth: 20; fast_pattern; content: !'|02 00 00 00|'; within: 4; content: '_ctrl'; content: '_ser'; content: '_tim'; content: '_exp'; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )»