Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 3920 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS/IPS & HTTP/S Proxy does not catch Malicious Links

Alvin
Hi Guys

- I am posting under General as it is both a question of IDS/IPS and HTTP Proxy.

- My Question is just to confirm Astaro is not catching these threats Or if my configuration wrong.

- IDS/IPS - Network - LAN with ALL Rules and Additional Alerts Enabled.

- HTTP Proxy with Both Antivirus Enabled.

- Problem - I often test my security by purposely go and click those spam mails which is very obvious it would bring me to malicious websites.

- The Problem I face is, 100% of these websites attacks (Blackhole Expoit, JAVA etc) is caught by Symantec End Point Protection.

- I am worried as to why my Astaro NEVER ever detected anything.

- Shouldn't the IDS/IPS Intercept the malicious packets?

- Shouldn't the HTTP/S Proxy Antivirus catch it?

- I do Understand IDS/IPS and HTTP/S Proxy is Never 100% but I am worried when almost a year of playing with Astaro to the best of my knowledge, I never seen it defended me at the Perimeter.

- I am sure my HTTP/S Proxy is working as if I download Eicar Virus, it would show it.

- Problem is in the real world, we need protection against all these SPAM E-mails with Malicious Links that brings us to websites with Malicious Exploit Codes.


This thread was automatically locked due to age.
Parents
  • 0
    - The Problem I face is, 100% of these websites attacks (Blackhole Expoit, JAVA etc) is caught by Symantec End Point Protection.

    That's why we recommend to have anti-virus  in Astaro, on each client and on each server.  If you purposely open an email identified as containing a virus, you need end-point protection since you've allowed the malware to go around the Astaro protection.

    - Shouldn't the IDS/IPS Intercept the malicious packets

    The packets themselves wouldn't be caught by IPS.

    - Shouldn't the HTTP/S Proxy Antivirus catch it?

    Yes, if it configured "correctly" ("Standard" with HTTPS scanning enabled).  But, again, no one gets it right first all of the time; even Avira although it is top-rated.  This is why we always recommend that servers and clients have different AV from different suppliers (not Avira, either).

    - Problem is in the real world, we need protection against all these SPAM E-mails with Malicious Links that brings us to websites with Malicious Exploit Codes.

    There's no protection for people that are careless.  There always will be a new URL with malware.  I recommend blocking sites that are uncategorized because they are unknown to the URL Filter.

    I submitted the linkt o Virus Total URL Scan and below is the result.

    The HTTP Proxy with Content Protection ( Yes I did select all the obvious malicious websites, spams, exploits catagory) does not flag either.

    So effectively Non of the layers in Astaro protected me

    You shouldn't expect any perimeter device to protect you from everything.

    Cheers - Bob
Reply
  • 0
    - The Problem I face is, 100% of these websites attacks (Blackhole Expoit, JAVA etc) is caught by Symantec End Point Protection.

    That's why we recommend to have anti-virus  in Astaro, on each client and on each server.  If you purposely open an email identified as containing a virus, you need end-point protection since you've allowed the malware to go around the Astaro protection.

    - Shouldn't the IDS/IPS Intercept the malicious packets

    The packets themselves wouldn't be caught by IPS.

    - Shouldn't the HTTP/S Proxy Antivirus catch it?

    Yes, if it configured "correctly" ("Standard" with HTTPS scanning enabled).  But, again, no one gets it right first all of the time; even Avira although it is top-rated.  This is why we always recommend that servers and clients have different AV from different suppliers (not Avira, either).

    - Problem is in the real world, we need protection against all these SPAM E-mails with Malicious Links that brings us to websites with Malicious Exploit Codes.

    There's no protection for people that are careless.  There always will be a new URL with malware.  I recommend blocking sites that are uncategorized because they are unknown to the URL Filter.

    I submitted the linkt o Virus Total URL Scan and below is the result.

    The HTTP Proxy with Content Protection ( Yes I did select all the obvious malicious websites, spams, exploits catagory) does not flag either.

    So effectively Non of the layers in Astaro protected me

    You shouldn't expect any perimeter device to protect you from everything.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob - Congrats on that new Grand Professor of Astaro Title.

    - Just to clarify on the first point.

    - Yes these e-mails comes to the e-mail client.

    - User click on the Malicious Links.

    - These Links launches the Browser.

    - The Browser attemts to download in this case the Java Applet.
    - Other times it is Exploit Codes but not written in Java.

    - I can understand IDS/IPS not able to see this as malicious.

    - But it gets on my nerves when the Anti-Virus does not catch it.

    - I did use Block Uncatagorize (Both Under the General Tab and also Under the Specific Catagory ) but in reality, this Untagorize is too painful for my users as that database ( I think you menetioned is TrustedSource / McAfee) simply have many websites as uncatagorized.

    - I Totally Agree that we should have Defence In Depth that is why my end point is Symantec.

    - The reason I brought it up is just to verify this is common problem and not because I am doing it wrong.

    Thank You
  • 0 in reply to Alvin
    Another sample of Malicious Link that I just received.

    Again Astaro does not detect but Symantec does.

    @@ MALICIOUS LINK BELOW @@

    Intuit


    Intrusion Name
    Web Attack: Mass Injection Website
    Targeted Application
    Attack Parameter
    traduzioni.com.pl/wp-includes/int-market.html

    Hopefully Astaro would add or test these links and add more protections or get those vendors like Avira and Clam to detect it.

    Note: I am absolutely not complaining about Astaro, I know I cannot expect perimeter defence to protect everything.

    I just hope by constantly posting here promptly, Astaro would check it, Add it, Detect it and Protect us ALL .

    This forum is the only way for me to voice out.

    I would supply the link to Virus Total so that from there is distribute to the vendors.