Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1198 views
  • Users 0 members are here
Options
Suggested

[9.060]FEATURE] Traffic alert and traffic block are the same ?

utm_kid
Hello ,

do you really think traffic alert and traffic block is difference 



here it  give message in ips log but if you look at dashboard  at says  

2013:01:25-10:56:50 acenn snort[6091]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT SSH server detected on non-standard port" group="243" srcip="192.168.3.125" dstip="192.168.2.157" proto="6" srcport="5522" dstport="1447" sid="13586" class="Generic Protocol Command Decode" priority="3" generator="1" msgid="0"

when it really block application  then i have disable that rule with that SID 

on dashboard if you look at WAF  23 requests served today (TRAFFICE alert) but atteck was only 1 (i have use xss atteck )

please check attachment 

thanks
Parents
  • 0
    You could enable e-mail notifications for IPS. The notifications clearly state whether something was blocked or not.

    Regards,
    Bastian
  • 0 in reply to Monarch
    Hello Bastian,




    2013:01:26-16:21:51 acenn snort[6378]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT remote desktop protocol attempted administrator connection request" group="500" srcip="61.190.31.89" dstip="192.168.3.125" proto="6" srcport="4126" dstport="3389" sid="4060" class="Misc activity" priority="3" generator="1" msgid="0" 


    email say : 
    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: APP-DETECT remote desktop protocol attempted administrator connection request
    Details........: Snort ::
    Time...........: 2013-01-26 16:21:51
    Packet dropped.: no
    Priority.......: low
    Classification.: Misc activity
    IP protocol....: 6 (TCP)

    Source IP address: 61.190.31.89  Source port: 4126
    Destination IP address: 192.168.3.125 (my FQDN) Destination port: 3389 (ms-wbt-server)



    for ssh  
    Successful SSH login from 192.168.7.135 at 2013-01-26 14:30:33 with username loginuser.


    thanks
Reply
  • 0 in reply to Monarch
    Hello Bastian,




    2013:01:26-16:21:51 acenn snort[6378]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT remote desktop protocol attempted administrator connection request" group="500" srcip="61.190.31.89" dstip="192.168.3.125" proto="6" srcport="4126" dstport="3389" sid="4060" class="Misc activity" priority="3" generator="1" msgid="0" 


    email say : 
    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: APP-DETECT remote desktop protocol attempted administrator connection request
    Details........: Snort ::
    Time...........: 2013-01-26 16:21:51
    Packet dropped.: no
    Priority.......: low
    Classification.: Misc activity
    IP protocol....: 6 (TCP)

    Source IP address: 61.190.31.89  Source port: 4126
    Destination IP address: 192.168.3.125 (my FQDN) Destination port: 3389 (ms-wbt-server)



    for ssh  
    Successful SSH login from 192.168.7.135 at 2013-01-26 14:30:33 with username loginuser.


    thanks
Children
No Data