Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 788 views
  • Users 0 members are here
Options
Suggested

Network Security Observations (6.819)

Scott_Klassen
When I posted this for the previous beta version, the powers-that-be didn't seem terribly interested, but here it goes again.
 
It is not the least bit helpful or informative having :
IPS: Top blocked attacksTotal attacks blocked: 63 Rule IDPackets% of total19000724 38.09%29000823 36.5%39000610 15.87%406 9.52%
 
on the Network Security dashboard when I have no way of finding out what these rules are. I went to the snort rules search page, http://www.snort.org/pub-bin/sigs-search.cgi?cve=90008 , and none of these ID's are listed. Additionally, the IPS was blocking "attacks" while IPS was disabled, which it should not be doing.  On should = On and Off = Off.
 
Please allow the packet filter to be disabled as in version 6. Admins need options to make Astaro work well for their unique environment. This flexability is especially useful when ASL is not being used as a perimeter device, but instead to separate and monitor within a LAN. On this 6.819 test box, where the only rule I've set for the packet filter is to pass anyanyany, it has mysteriously dropped 47k packets in a few minutes. This is "safe" data being passed internally that has already been checked and scanned by production filters. Now if this were actual live data that this was happening to, I'd want to turn off the packet filter until I figured out what data was being dropped. Currently, the only option to not lose data and minimize downtime would be to pull the astaro box out.
Parents
  • 0
    When I posted this for the previous beta version, the powers-that-be didn't seem terribly interested, but here it goes again.
     
    It is not the least bit helpful or informative having :
    IPS: Top blocked attacksTotal attacks blocked: 63 Rule IDPackets% of total19000724 38.09%29000823 36.5%39000610 15.87%406 9.52%
     
    on the Network Security dashboard when I have no way of finding out what these rules are.


    This is on the list of things we want to change before the final version is released. It is even already prepared in the backend; it just did not yet make it all through to the frontend. Be assured that this just has been delayed because there were more pressing things to do, not because we wanted to make you wait a bit more. :-p

    Cheers,
    andreas
  • 0 in reply to andreas
    I love the control of the Intrusion Protection Rules on V6. It was by far the reason why we purchased the ASG425 and ASG320. That gave us granular control of what to detect and what to dop. Please reconsider bring it back.

    Another thing I hope you will consider bring back is the ability to strip the content of the web page through the proxy control. In V6, it is called "Custom HTML content removal".
  • 0 in reply to asg-user
    Hi asg-user, 

    just of curiosity, what did you use the custom content removal for?

    What kind of entries did you have there?

    regards
    Gert
  • 0 in reply to Gert Hansen
    Hi Gert Hansen,

    I work with local the local government and law enforcement. Most often, detectives needs to access certain 'interesting websites'. To protect them from the on slaught of drive by downloads and my all time favorites...embedded SRC= script that directs them to a SSL website that downloads a trojan. I use the Custom HTML content removal to stripped the SRC scripts and the likes. So far, it's worked great. But if you have another way let me know. I have not seen any UTM that will scan through SSL stream. So until then, that Custom HTML content removal is really helpful for my organization.
Reply
  • 0 in reply to Gert Hansen
    Hi Gert Hansen,

    I work with local the local government and law enforcement. Most often, detectives needs to access certain 'interesting websites'. To protect them from the on slaught of drive by downloads and my all time favorites...embedded SRC= script that directs them to a SSL website that downloads a trojan. I use the Custom HTML content removal to stripped the SRC scripts and the likes. So far, it's worked great. But if you have another way let me know. I have not seen any UTM that will scan through SSL stream. So until then, that Custom HTML content removal is really helpful for my organization.
Children
No Data
Cookie Information Banner