Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 2031 views
  • Users 0 members are here
Options
Suggested

[4.744] IDS Not Detecting Attacks

Brent_Gay
Hi, I just finished running Nessus (non-safe scan) against my ASL and the IDS did not get triggered at all! Nessus should fire off all sorts of alert notifications. Also the hits in the IDS -> Rules list did not increase??

Another thing is that Nessus is picking up alot more in this beta than in 4.021. It seems the portscanner (Nmap) had no problem scanning (SYN scan) and finding all my open ports even with PSD turned on. Nessus is also showing a vulnerability in the SSH daemon being used:

The remote SSH daemon supports connections made
using the version 1.33 and/or 1.5 of the SSH protocol.

These protocols are not completely cryptographically
safe so they should not be used.

Solution : 
 If you use OpenSSH, set the option 'Protocol' to '2'
 If you use SSH.com's set the option 'Ssh1Compatibility' to 'no'
  
Risk factor : Low

After checking out the /etc/ssh/sshd_config file I saw that root logins are allowed (also tested)...is this just for the beta?? It also seems that there is no TMOUT environment variable set that disconnects an idle session, unless there is something else taking care of this.  
Parents
  • 0
    A couple more things.
    The time is off in the webadmin by +5 hours. During setup I did choose the proper time zone for my area (America, New_York).

    The HISTORY environment variable is set to 500. Is this just for beta?? Personally, for security, I would like to have it to where no previous shell commands are saved, or at least during logoff clearing the ~/.bash_history file.

    When I turned on the HTTP proxy (no URL Filtering) I was getting an error that said "it is a deny only profile. it is a tough life". (or something close to that) I could turn it off and I could get out with no problem...I had set for the internal network allowed access.

    I rebooted the ASL and retried the HTTP proxy (transparent, no URL filtering, using Mozilla 1.6 on WinXP). This time I was able to get out but I instantly received an alert e-mail that contained the following:
    [1:620:0] D SCAN Proxy Port 8080 attempt [Classification: Attempted Information Leak] [Priority: 2]:  {PROTO006} 192.168.123.10:1506 -> 192.168.123.5:8080

    I also ran the same Nessus scan as before. Still all ports were discovered, but this time I did receieve (a ton!!) alert mails and the hit counts went up in the IDS -> Rules. I did not receive any PSD alert mails, and yes, PSD is turned on.

    Other misc./cosmetic things:
    PPTP out the Internal net is not working...I have PPTP setup to be allowed out of the LAN to anywhere...in 4.021, have no problem. I tried it with PPTP both in and out of the connection tracking helper.
    If I need to modify an existing network/service group that contains alot of items and I dont hold down the control key it wipes out all my previous entries and I have to hit cancel and start over.
    There is something about the network defintion screen that just looks cluttered to me. Maybe breaking up groups from hosts would clean that up.
    Manipulating rule positions in the packet filter rules does not work correctly.
    Under HTTP Proxy -> Content Filtering  -> Profiles if you modify the Default Surf Protection Category to Locomotion for example, you can not change it back to ::none::.
    Under Reporting -> Content Filter it appears to be only SMTP content filtering..will this also contain URL unauthorized hits?

    Great job with this and thank you for the community involvement!!
      
  • 0 in reply to Brent_Gay
    first of all thx for reporting.. will try to add some comments:

    - ssh root login is beta only
    - ssh is patched for detected vulnerability (version number not increased)
    - the HTTP proxy 'deny all profile' matches, if no other profile matches. that means either there is no profile or there is a profile, but it does not match (e.g. user/network)
    - to empty a profile definition try 'deselecting' the selected entries (hold ctrl) .. will be added to onlinehelp
    - proxy contentmanager shows up smtp/pop3 stuff only. unauth is currently not in webadmin (missing)..

    ~marcel 
Reply
  • 0 in reply to Brent_Gay
    first of all thx for reporting.. will try to add some comments:

    - ssh root login is beta only
    - ssh is patched for detected vulnerability (version number not increased)
    - the HTTP proxy 'deny all profile' matches, if no other profile matches. that means either there is no profile or there is a profile, but it does not match (e.g. user/network)
    - to empty a profile definition try 'deselecting' the selected entries (hold ctrl) .. will be added to onlinehelp
    - proxy contentmanager shows up smtp/pop3 stuff only. unauth is currently not in webadmin (missing)..

    ~marcel 
Children
No Data
Cookie Information Banner