Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1196 views
  • Users 0 members are here
Options
Suggested

[9.060]FEATURE] Traffic alert and traffic block are the same ?

utm_kid
Hello ,

do you really think traffic alert and traffic block is difference 



here it  give message in ips log but if you look at dashboard  at says  

2013:01:25-10:56:50 acenn snort[6091]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT SSH server detected on non-standard port" group="243" srcip="192.168.3.125" dstip="192.168.2.157" proto="6" srcport="5522" dstport="1447" sid="13586" class="Generic Protocol Command Decode" priority="3" generator="1" msgid="0"

when it really block application  then i have disable that rule with that SID 

on dashboard if you look at WAF  23 requests served today (TRAFFICE alert) but atteck was only 1 (i have use xss atteck )

please check attachment 

thanks
  • 0
    Alert is a warning message ; Block is traffic blocked by the utm. Right now both the alerts and the block, are shown in the dashboard in "Today's threat status" under the same entry IPS: x attacks blocked. Will check if this is correct behavior, and if not we will rectify it [ in order to make things less confusing]
    thanks
  • 0
    You could enable e-mail notifications for IPS. The notifications clearly state whether something was blocked or not.

    Regards,
    Bastian
  • 0 in reply to Monarch
    Hello Bastian,




    2013:01:26-16:21:51 acenn snort[6378]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT remote desktop protocol attempted administrator connection request" group="500" srcip="61.190.31.89" dstip="192.168.3.125" proto="6" srcport="4126" dstport="3389" sid="4060" class="Misc activity" priority="3" generator="1" msgid="0" 


    email say : 
    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: APP-DETECT remote desktop protocol attempted administrator connection request
    Details........: Snort ::
    Time...........: 2013-01-26 16:21:51
    Packet dropped.: no
    Priority.......: low
    Classification.: Misc activity
    IP protocol....: 6 (TCP)

    Source IP address: 61.190.31.89  Source port: 4126
    Destination IP address: 192.168.3.125 (my FQDN) Destination port: 3389 (ms-wbt-server)



    for ssh  
    Successful SSH login from 192.168.7.135 at 2013-01-26 14:30:33 with username loginuser.


    thanks
  • 0
    Hi utm kid,
    The IPS number of attacks blocked in your Dashboard shows both types of traffic ( alert_packets + drop_packets). Therefor, that's the correct behavior. 
    I think it will be a good idea if you would add a feature request ( feature.astaro.com ) in order to have these two types of traffic separated. [ blocked / attacks]. Our PM will look into it.
    Thanks!
  • 0 in reply to Tinkerbell
    Hi utm kid,
    The IPS number of attacks blocked in your Dashboard shows both types of traffic ( alert_packets + drop_packets). Therefor, that's the correct behavior. 
    I think it will be a good idea if you would add a feature request ( feature.astaro.com ) in order to have these two types of traffic separated. [ blocked / attacks]. Our PM will look into it.
    Thanks!



    Thanks,but no thanks