Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 3345 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature request: snortsam or equivalant

PenTest
there have been a couple of threads discussing this but so the interest does not get lost.

The current IDS implementation in Astaro 5.x drops individual packets that trip one of the snort traps.

A feature that would allow adding the IP addresses of the source of these tripped packets to a block list would be an excellent feature.

All of these functions are already developed in the GPL project snortsam. It also intelegently handles rollback, whitelists etc etc.

This would be an excellent feature IMHO as from my tests (on another firewall) it reduces the IDS alarm count by 90%+ and reduces logs and CPU load as a consequence

www.snortsam.net


This thread was automatically locked due to age.
Parents
  • 0
    I think this is quite good , too!


    Alex
  • 0 in reply to alasc
    I thought i ould follow up with the down side.

    If someone was to send spoofed packets to the firewall they could blacklist anyone arbitrarily. Snortsam handles this in a couple of ways but it can always happen.

    The key here is that its unlikely someone will know that the firewall has the feature and that it is turned on. You can also define whiltelists of IP's never to block. This would not effect the current IDS as dodgy packets would be still dropped.

    I also posted an idea elsewhere that is relevant.

    Since Astaro knows about what public IPs you have and what port forwards are in place it would not be difficult to have a snort rule automatically created that covered all IP/Ports that are not required for the firewall to function.

    This combined with snortsam would mean that even the simplest of port scans would trip the sensor and ban the IP address.

    Put it this way. I do pen tests for a living and this would be a REAL poiblem for me if a client ran this. It would make it almost impossible to to a black hat test in anything less that several weeks per /27 subnet. Simply put the casual or automated attacker would get no where.

    If Astaro were to consider this i would suggest that they take a dev box and try it. Specifically compare the average load, log count and IDS count with it turned on and off. It REALLY makes a MASSIVE difference as a full port scan that generates 65,000 (ish) log entries only produces 2 log entries after snortsam is activated.
  • 0 in reply to PenTest
    I agree with PenTest. This has the potential of being a problem by automating the security policy of the organization because as mentioned before...the ability to craft packets to start blocking legitimate business partners by a malicious attacker.
  • 0 in reply to Brent_Gay
    Although in practice it can be easily managed. IMHO the upsides far outweigh the downsides. The increase in security is significant as most attackers are clumsy/noisy to start with before they focus their attention. With this feature they dont get past first base.

    But i agree this is an advanced feature in so far as you have to understand about it to use it effectively.
  • 0 in reply to PenTest
    I'd hate to deploy it for a large organisation, but I can see it would have uses.
  • 0 in reply to Simon Shaw
    Simon i would be interested to know why you think the organisation size would make a difference?

    The only thing I can think of is if you applied it to internal interfaces. If thats the case then .... OH MY GOD YES [;)]

    Saying this if you just whilelist all the IANA private IP spaces along with your own corporate public IPs and this should alleviate any problems there.

    The real benefit is on any untrusted interfaces i.e. the internet
  • 0 in reply to PenTest
    I am quite new here so... how does this work?

    Would it be typical for Astaro themselves to come back with a comment of interest/noninterest on a feature request?

    Is there somewhere to check to see if Astaro have even noticed the request and noted it as a thought for later?
  • 0 in reply to PenTest
    No.  Thats a bit of a pain for all of us actually.  Often we don't know if Astaro staff have read a post or not.

    I think they DO read all the posts, they just don't comment unless it's a serious issue.

    Astaro generally never comment on features that will be in future versions.  Most companies do this.

    It would be nice though to know if Astaro staff have read a post or not though....
  • 0 in reply to Simon Shaw
    yup agreed.

    a simple looks interesting comment would suffice. I understand that since it is a commercial venture Astaro would have to be careful what they say
  • 0 in reply to Simon Shaw
    Hi all,

    be sure we read all posts on our UBB :-)))
    (i mentioned this already in several announcemnets and posts, but apparently not all members believe it...)


    At this time not official comment about the "feature request".
Reply Children
  • 0 in reply to Markus Hennig
    Markus,

    thanks very much for taking the ime to respond. I am quite new here and have not managed to catch up on my back reading so appologies.

    I totally understand why you cannot and will not ever comment on feature requests. It would be folly to give competitors (if you have any [;)].

    I have some other ideas based on firewalls I have worked on both GPL and commercail in the past shortcomings and benefits.

    I'll post them as they come up for Astaro to ponder at their discretion.

    Kudos

    mark