Данный функционал активируется только при наличии лицензии. |
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
10
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
CONFIG-IPS-POLICY
CONFIG-IPS-UPGRADE-USER-SERVER
CONFIG-CONTENT-PROVIDER
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist" |
Данной командой активируется сервис IPS/IDS и его правила.
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
[no] enable
Команда не содержит параметров.
IPS/IDS сервис не активирован.
15
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
CONFIG-CONTENT-PROVIDER
CONFIG-IPS-UPGRADE-USER-SERVER
esr(config-ips)# enable |
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.
show security ips content-provider
10
ROOT
esr# show security ips content-provider Server: content-provider Last MD5 of received files: 93633ab9a73248ea50d58c25b1ac806c Next update: 06 October 2020 12:27:40 |
Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.
show security ips content-provider rules-info
10
ROOT
esr# show security ips content-provider rules-info Vendor : kaspersky Category : IoTURLsDF Count of rules : 8000 Description : Kasperksy Lab IoTURLsDF feed IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices Category : MaliciousHashDF Count of rules : 1 Description : Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Category : PhishingURLsDF Count of rules : 11167 Description : Kasperksy Lab PhishingURLsDF feed Phishing URL feed - a set of URLs with context that cover phishing websites and web pages |
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
show security ips counters
10
ROOT
esr# show security ips counters TCP flows processed : 34687 Alerts generated : 456 Blocked by ips engine : 78 Accepted by ips engine : 1356436 |
Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.
show security ips status [detailed]
detailed – показывает расширенную информацию об используемых правилах.
10
ROOT
esr# show security ips status Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 esr# show security ips status detailed Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 Rules processed: 21727 IP-only inspecting: 1 Payload inspecting: 3980 Application layer inspecting: 18951 Decoder event: 0 |
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.
<WORD> имя сервера задается строкой от 1 до 64 символа.
10
ROOT
esr# sh security ips user-server Server name Files MD5 Next update -------------------------------- -------------------------------- -------------------------------- content-provider 93633ab9a73248ea50d58c25b1ac806c 06 October 2020 12:27:40 TH 919f51bdf44052bfc0953362aef11c0d 06 October 2020 12:36:40 Traffic-ID e5e2f6472a397227c0d96f5df430a207 06 October 2020 12:36:40 Aggressive cfc3547b50f3f9fec366ba5a1e51cd1f 06 October 2020 12:36:40 JA3-Fingerprint 439aa6e57c66826b92337672937d505b 05 October 2020 16:51:40 C2-Botnet 39e118bd3884b3dc1df4ca3a03c05df1 05 October 2020 16:51:40 SSL-BlackList 1d9c969f25791b9ee8c8c0ab8449d849 05 October 2020 16:51:40 ET-Open d53d92248a1f7cdc040d669a76cf27bc 06 October 2020 12:36:40 |
Данной командой инициируется принудительное обновление правил IPS/IDS, распространяемых по коммерческой лицензии.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
update security ips content-provider rules
15
ROOT
esr# update security ips content-provider rules |
Данной командой инициируется принудительный запрос информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
update security ips content-provider rules-info
15
ROOT
esr# update security ips content-provider rules-info |
Данной командой инициируется принудительное обновление правил IPS/IDS с пользовательского сервера обновлений.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
update security ips user-server rules <WORD>
<WORD> имя сервера задается строкой от 1 до 64 символа.
15
ROOT
esr# update security ips user-server rules ET-Open |
Данной командой определяется категория правил IPS/IDS определённого вендора, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данной категории
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
category <CATEGORY>
no category { <CATEGORY> | all }
<CATEGORY> – категория правил.
Список доступных категорий можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
15
CONFIG-IPS-VENDOR
esr(config-ips-vendor)# category MobileBotnetCAndCDF |
Данной командой устанавливается профиль IP-адресов, которые сервис IPS/IDS будет считать ненадежными.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
external network-group <OBJ-GROUP-NETWORK-NAME>
no external network-group
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
15
CONFIG-IPS-POLICY
esr(config-ips-policy)# external network-group WAN |
Данной командой устанавливается профиль IP-адресов, которые будет защищать сервис IPS/IDS.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
15
CONFIG-IPS-POLICY
esr(config-ips-policy)# protect network-group LAN |
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего правилам данной категории.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
rules action { alert | reject | pass | drop }
no rules action
15
CONFIG-IPS-VENDOR-CATEGORY
esr(config-ips-vendor-category)# rules action drop |
Данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
rules count <COUNT>
no rules count
<COUNT> – число правил. Минимальное значение 1, максимальное значение завист от категории правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой
show security ips content-provider rules-info
15
CONFIG-IPS-VENDOR-CATEGORY
esr(config-ips-vendor-category)# rules count 8000 |
Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
[no] security ips policy <POLICY_NAME>
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.
15
CONFIG
esr(config)# security ips policy OFFICE |
Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
vendor <VENDOR>
no vendor <CATEGORY>
<VENDOR> – вендор правил.
Список доступных вендоров можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
15
CONFIG-IPS-POLICY
esr(config-ips-policy)# vendor kaspersky |
Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
logging ips severity <SEVERITY>
no logging ips severity
<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):
info
15
CONFIG
esr(config)# logging ips severity error |
Данной командой задаются параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) останавливает отправку статистики.
logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]
no logging remote-server
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты;
15
CONFIG-IPS
esr(config-ips)# logging remote-server 192.168.0.101 |
Данной командой устанавливается интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
logging update-interval <INTERVAL>
no logging update-interval
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах ;
10 минут
15
CONFIG-IPS
esr(config-ips)# logging update-interval 10 |
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
security ips
15
CONFIG
esr(config)# security ips |
Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т.д.).
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
[no] performance max
15
CONFIG-IPS
esr(config-ips)# perfomance max |
Данной командой назначается созданная ранее политика настроек сервиса IPS/IDS.
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
policy <POLICY_NAME>
no policy
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
15
CONFIG-IPS
esr(config-ips)# policy OFFICE |
Данная команда используется для включение сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
[no] service-ips enable
15
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
esr(config-if-gi)# service-ips enable |
Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.
content-provider
15
CONFIG
esr(config)# content-provider |
Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.
host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME> }
<ADDR> – IP-адрес устройства, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес устройства, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<HOSTNAME> – DNS-имя устройства, задаётся строкой до 255 символов;
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# host address edm.eltex-co.ru |
Данной командой задаётся номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
host port <PORT>
no host port
<PORT> – номер TCP-порта, принимает значения [1..65535];
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# host port 8098 |
Данной командой задаётся текстовое описание, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) удаляет это описание.
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw |
location <WORD>
no location
<WORD> – описание, задаётся строкой до 255 символов.
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# location "Server room in Novokuznetsk office" |
Данной командой задаётся время перезагрузки устройства при получении системной лицензии. Устройство перезагружается при первом подключении к серверу обновлений правил, распространяемых по коммерческой лицензии.
При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.
reboot { immediately | time <TIME> }
immediately – перезагружаться сразу после получения лицензии;
time <TIME> – перезагружаться в указанное время <TIME>;
<TIME> – время перезагрузки в формате HH:MM:SS.
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# reboot time 05:00:00 |
Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS в шифрованном виде, распространяемые по коммерческой лицензии.
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT
Использование отрицательной формы команды (no) останавливает сохранение правил.
storage-path { usb://<USB-NAME>:/<PATH> | mmc://<MMC-NAME>:/<PATH> }
no storage-device
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc;
<PATH> – путь и имя файла на внешнем носителе.
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# storage-device usb://DATA/IPS |
Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue
Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или выводе команд show интерфейса командной строки EDM-Issue https://docs.eltex-co.ru/x/MAFtCw |
system-name <WORD>
no system-name
<WORD> – имя, задаётся строкой до 255 символов.
По умолчанию значение system-name совпадает с hostname
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# system-name main-office |
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS, распространяемых по коммерческой лицензии.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
upgrade interval <HOURS>
no upgrade interval
<HOURS> – интервал обновлений в часах, от 1 до 240.
24
15
CONFIG-CONTENT-PROVIDER
esr(config-content-provider)# upgrade interval 36 |
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
auto-upgrade
15
CONFIG-IPS
esr(config-ips)# auto-upgrade |
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного URL.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
upgrade interval <HOURS>
no upgrade interval
<HOURS> – интервал обновлений в часах, от 1 до 240.
24
15
CONFIG-IPS-UPGRADE-USER-SERVER
esr(config-ips-upgrade-user-server)# upgrade interval 36 |
Команда используется для задания URL-ссылки.
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
url <URL>
no url
<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.
В качестве URL-ссылки может быть указан:
15
CONFIG-IPS-UPGRADE-USER-SERVER
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/ |
Данной командой задаётся имя пользовательского сервера обновлений правил IPS/IDS и осуществляется переход в режим конфигурирования параметров пользовательского сервера обновлений.
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила полученные с этого сервера.
user-server <WORD>
no user-server { <WORD> | all }
<WORD> имя сервера задается строкой от 1 до 64 символа.
15
CONFIG-IPS-AUTO-UPGRADE
esr(config-ips-auto-upgrade)# user-server ET-Open |
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
action { alert | reject | pass | drop }
no action
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# action reject |
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no destination-address
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса назначения, задаётся строкой до 31 символа;
destination-address policy-object-group protect устанавливает в качестве адресов назначения protect-адреса, определенные в политике IPS/IDS;
destination-address policy-object-group external устанавливает в качестве адресов назначения external-адреса, определенные в политике IPS/IDS;
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# destination-address ip 10.10.10.1 |
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no destination-port
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535;
<OBJ_GR_NAME> – имя профиля TCP/UDP-портов получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# destination-port 22 |
Данной командой устанавливается направление потока трафика, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
direction { one-way | round-trip }
no direction
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# direction one-way |
Данной командой устанавливается значение кода DSCP, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
ip dscp <DSCP>
[no] ip dscp
<DSCP> – значение кода DSCP, принимает значения [0..63].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip dscp 8 |
Данной командой устанавливаются значения ключевых слов протокола FTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol ftp.
Использование отрицательной формы команды (no) отменяет назначение.
ip ftp command <COMMAND>
[no] ip ftp command
<COMMAND> – может принимать следующие значения:
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# protocol ftp esr(config-ips-category-rule)# ip ftp command allo |
Данной командой устанавливаются значения ключевых слов протокола FTP-DATA, для которых должно срабатывать правило.
Данная команда применима только для значения protocol ftp-data.
Использование отрицательной формы команды (no) отменяет назначение.
ip ftp-data command <COMMAND>
[no] ip ftp-data command
<COMMAND> – может принимать следующие значения:
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# protocol ftp-data esr(config-ips-category-rule)# ip ftp-data command stor |
Данной командой устанавливаются значения ключевых слов протокола HTTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
ip http <COMMAND>
[no] ip http
<COMMAND> – может принимать следующие значения:
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X / Suricata 4.X.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload content "HTTP/1.0" esr(config-ips-category-rule)# ip http protocol |
Данной командой назначается профиль категорий контентной фильтрации. Текущее правило будет срабатывать для http-сайтов, которые относятся к категориям заданным в этом профиле.
Сам профиль контентной фильтрации должен быть предварительно создан.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
ip http content-filter <NAME>
[no] ip http content-filter
<NAME> – Имя профиля контентной фильтрации задаётся строкой до 31 символа.
any – правило будет срабатывать для http-сайтов любой категории.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip http content-filter Black-List |
Данной командой устанавливаются значения метода доступа по протоколу http, для которых должно срабатывать правило.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
ip http method <COMMAND>
[no] ip http method
<COMMAND> – может принимать следующие значения:
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip http method get |
Данной командой устанавливается значение ICMP CODE, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
ip icmp code <CODE>
[no] ip icmp code
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp code 5 |
Оператор сравнения для команды ip icmp code. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
ip icmp code comparison-operator { greater-than | less-than }
[no] ip icmp code comparison-operator
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than |
Данной командой устанавливается значение ICMP ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
ip icmp id <ID>
[no] ip icmp id
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp id 65000 |
Данной командой устанавливается значение ICMP sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp sequence-id 8388608 |
Данной командой устанавливается значение ICMP TYPE, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
ip icmp type <TYPE>
[no] ip icmp type
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp type 12 |
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
ip icmp type comparison-operator { greater-than | less-than }
[no] ip icmp type comparison-operator
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than |
Данной командой устанавливается идентификационный номер IP-протокола, трафик которого будет обрабатываться в данном правиле.
Данная команда применима только для значения protocol any.
Использование отрицательной формы команды (no) отменяет назначение.
ip protocol-id <ID>
[no] ip protocol-id
<ID> – идентификационный номер IP-протокола [1..255].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip protocol-id 250 |
Данной командой устанавливается значение TCP Acknowledgment-Number, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
ip tcp acknowledgment-number <ACK-NUM>
[no] ip tcp acknowledgment-number
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32 |
Данной командой устанавливается значение TCP Sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip tcp sequence-id 2542 |
Данной командой устанавливается значение TCP Window Size, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
ip tcp window-size <SIZE>
[no] ip tcp window-size
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535]
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip tcp window-size 50 |
Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
ip ttl <TTL>
[no] ip ttl
<TTL> – время жизни IP-пакета, принимает значения [1..255].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip ttl 8 |
Оператор сравнения для команды ip ttl. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
ip ttl comparison-operator { greater-than | less-than }
[no] ip ttl comparison-operator
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than |
Данная команда определяет классификацию события, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }
[no] meta classification-type
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# meta classification-type misc-attack |
Данная команда определяет текстовое сообщение, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
meta log-message <MESSAGE>
[no] mera log-message
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack" |
Данной командой можно указать содержимое IP-пакетов, при совпадении с которым будет срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
payload content <CONTENT>
[no] payload content <CONTENT>
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload content "virus" |
Данной командой устанавливается размер содержимого пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
payload data-size <SIZE>
[no] payload data-size
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535]
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload data-size 1024 |
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
payload data-size comparison-operator { greater-than | less-than }
[no] payload data-size comparison-operator
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than |
Данная команда указывает сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
payload depth <DEPTH>
[no] payload content depth
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 3 |
Под действие правила попадут пакеты с содержимым «abcdef», «abc123», «abcabcabc» и т.д.
Данная команда указывает не различать прописные и заглавные буквы в описании содержимого пакетов. Команда используется только совместно с командой payload content.
Использование отрицательной формы команды (no) отменяет назначение.
payload no-case
[no] payload content no-case
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload content "virus" esr(config-ips-category-rule)# payload no-case |
Под действие правила попадут пакеты с содержимым «virus», «VIRUS», «ViRuS» и т.д.
Данная команда указывает число байт смещения от начала содержимого пакета, с которого начнется проверка. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload depth.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
payload offset <OFFSET>
[no] payload content offset
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3 |
Под действие правила попадут пакеты с содержимым «123abcdef», «defabc», «abcabcabc» и т.д.
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
protocol { any | ip | icmp | http | tcp | udp }
[no] protocol
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# protocol udp |
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
[no] rule <ORDER>
<ORDER> – номер правила, принимает значения [1..512].
15
CONFIG-IPS-CATEGORY
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# |
Данной командой создается набор пользовательских правил сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования этого набора.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
[no] security ips-category user-defined <CATEGORY_NAME>
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> не допустимо |
15
CONFIG
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)# |
Данной командой устанавливаются IP-адреса отправителей, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no source-address
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.
destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS
destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16 |
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no source-port
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
<OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# source-port 22 |
Данной командой устанавливается пороговое значение количества пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) удаляет назначение.
threshold count <COUNT>
[no] threshold count
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535]
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# threshold count 1024 |
Данной командой устанавливается интервал времени, для которого считается пороговое значение. пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
threshold second <SECOND>
[no] threshold second
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# threshold second 1 |
Данной командой устанавливается по адресу отправителя или получателя будут считаться пакеты, для которых устанавливаются пороговые значения. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
threshold track { by-src | by-dst }
[no] threshold track
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# threshold track by-src |
Данной командой устанавливается метод обработки пороговых значений. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
threshold type { treshhold | limit | both }
[no] threshold type
15
CONFIG-IPS-CATEGORY-RULE
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold |
Сообщение будет генерироваться на каждый Х*1025 пакет, приходящий за 1 секунду с одного IP-адреса.
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE-ADVANCED. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
[no] rule-advanced <ORDER>
<ORDER> – номер правила, принимает значения [1..4294967295].
15
CONFIG-IPS-CATEGORY-RULE-ADVANCED
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)# |
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X
Использование отрицательной формы команды (no) отменяет назначение.
rule-text <LINE>
[no] rule-text
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил символ '' требуется заменить на символ '.
15
CONFIG-IPS-CATEGORY-RULE-ADVANCED
esr(config-ips-category-rule-advanced)# rule-text "alert tcp any any -> $HOME_NET any (msg: 'ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet'; flow: established, to_server; content:'_auth'; depth: 20; fast_pattern; content: !'|02 00 00 00|'; within: 4; content: '_ctrl'; content: '_ser'; content: '_tim'; content: '_exp'; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )" |