Feature request: snortsam or equivalant

I think this is quite good , too!


Alex

I thought i ould follow up with the down side.

If someone was to send spoofed packets to the firewall they could blacklist anyone arbitrarily. Snortsam handles this in a couple of ways but it can always happen.

The key here is that its unlikely someone will know that the firewall has the feature and that it is turned on. You can also define whiltelists of IP's never to block. This would not effect the current IDS as dodgy packets would be still dropped.

I also posted an idea elsewhere that is relevant.

Since Astaro knows about what public IPs you have and what port forwards are in place it would not be difficult to have a snort rule automatically created that covered all IP/Ports that are not required for the firewall to function.

This combined with snortsam would mean that even the simplest of port scans would trip the sensor and ban the IP address.

Put it this way. I do pen tests for a living and this would be a REAL poiblem for me if a client ran this. It would make it almost impossible to to a black hat test in anything less that several weeks per /27 subnet. Simply put the casual or automated attacker would get no where.

If Astaro were to consider this i would suggest that they take a dev box and try it. Specifically compare the average load, log count and IDS count with it turned on and off. It REALLY makes a MASSIVE difference as a full port scan that generates 65,000 (ish) log entries only produces 2 log entries after snortsam is activated.

I agree with PenTest. This has the potential of being a problem by automating the security policy of the organization because as mentioned before...the ability to craft packets to start blocking legitimate business partners by a malicious attacker.

Although in practice it can be easily managed. IMHO the upsides far outweigh the downsides. The increase in security is significant as most attackers are clumsy/noisy to start with before they focus their attention. With this feature they dont get past first base.

But i agree this is an advanced feature in so far as you have to understand about it to use it effectively.

I'd hate to deploy it for a large organisation, but I can see it would have uses.

Simon i would be interested to know why you think the organisation size would make a difference?

The only thing I can think of is if you applied it to internal interfaces. If thats the case then .... OH MY GOD YES [;)]

Saying this if you just whilelist all the IANA private IP spaces along with your own corporate public IPs and this should alleviate any problems there.

The real benefit is on any untrusted interfaces i.e. the internet

I am quite new here so... how does this work?

Would it be typical for Astaro themselves to come back with a comment of interest/noninterest on a feature request?

Is there somewhere to check to see if Astaro have even noticed the request and noted it as a thought for later?

No.  Thats a bit of a pain for all of us actually.  Often we don't know if Astaro staff have read a post or not.

I think they DO read all the posts, they just don't comment unless it's a serious issue.

Astaro generally never comment on features that will be in future versions.  Most companies do this.

It would be nice though to know if Astaro staff have read a post or not though....

yup agreed.

a simple looks interesting comment would suffice. I understand that since it is a commercial venture Astaro would have to be careful what they say

yup agreed.

a simple looks interesting comment would suffice. I understand that since it is a commercial venture Astaro would have to be careful what they say