ASTARO/SOPHOS HOME USERS and IPS

Got it enabled on mine. With 12 month rule aging turned on, I get almost 100mbp on my Atom 2550 system. 

Just use it as extra protection. Since I began using it about 5 months back, it hasn't really caught anything, except for some false positives. just some extra piece of mind. 

Just to add: I only run Synology photo station as a server, but it's through application firewall.

I consider web protection(a/v for http. and application visibility), IPS, and ATP as the core security foundation for the UTM.  The ATP system depends on the ips AND web protection to do its work and for a home user is probably the single most important advance in network security to be released in recent times.  I run IPS and ATP on ALL client installs regardless of home or business locations.

I run it at home, but I tend to think lately it's largely a waste of time.  Mine has never caught anything of value according to stats.  I think since I've been running Sophos, I've had it say it caught one virus.  Previous to Sophos I ran Untangle for years, and don't think it ever really hit on anything--though it does use an inferior AV engine.

I ran Security Onion for a couple months as a test monitoring my network.  It came up with literally thousands of flagged items almost daily.  It pretty much takes a dedicated security team to sit and monitor the network and all these errors to determine what's actually a problem and what is OK.  Of the thousands of notifications you'd get through Snorby, only a hand full were indicated as high-level alerts--but again it's hard to get the wheat from the chaff sometimes.

I have been reading Richard Bejtlich's book on network security monitoring, and to be effective in stopping things you really have to be dedicated to take the time and actually learn what threats look like.  His position is you need to monitor & log everything passively with people monitoring expected threats (IDS instead of IPS).  If you can't actively monitor, then IPS is the next step.  The problem with IPS is that it has to be so finely tuned to the situation that it's difficult to stay ahead of the curve.  Presumably Sophos is doing that tuning themselves, but it's hard to say.

Mostly, Bejtlich says they will get in, so monitoring to find out what they did and controlling it is more effective than trying to play the never-ending game of IPS.  Of course, this is a far more serious level than what anyone at home can really achieve.  Ultimately though, it's almost impossible to stay ahead of the bad guys.  New stuff is coming out constantly.  Most of the rules are based on known threats, and all the zero-day type stuff is still going to get through.

Some of the threats are socially-engineered, and no manner of IPS will stop them.  I read of a man's challenge to break into his coworker's home network.  He didn't have any fancy UTMs, just practiced good security through his devices.  The guy couldn't get in, until a craftily-made email sent to his adversary let him right in the front door.

Some security systems are going towards whitelisting, instead of blacklisting.  This would allow known good items, instead of trying to identify known problems.  You can do this as a home user by implementing security on your Windows systems such as Software Restriction Policy.  Basically, it does not allow anything to run that you haven't given explicit permission to do so.  There are whitelists for the internet out there.

One of the reasons to go with monitor over intervention, is that intervention often breaks a lot of "good" items.  I know I run into issues all the time where the UTM is blocking something that is a good quantity.  Sometimes, when things just aren't working, it's difficult to pin down why.  Maybe it's the server end, but now you have to sort through logs to determine which of all the features is actually causing the hang-up.

Antivirus as a whole is going that direction as well.  There are a lot of people that are starting to move towards the idea of AV being less than stellar for any true protection.  You still don't have good zero-day threat protection, and some of these AV systems are just information gathering systems for the AV companies (there was an article about this where a site--maybe Anandtech--asked AV companies about data collection and it was very revealing).

Anyway, this is a long post that is probably more of a wider discussion than you were looking for, but addresses some of the issues as a whole.  For a home user, all this stuff is totally unnecessary for the most part.  I've actually considered dropping Sophos, or UTMs entirely, at home for some of these reasons.  A properly patched OS, with implementations like SRP, and you're going to have a very difficult time compromising the system at all.  However, there are a lot of things the UTM does outside of IPS that I do really appreciate (adblocking, outgoing email proxy, file extension blocking).  Some of them I just can't seem to get working the way I need it to (like VPN and dynamic DNS).

You should enable IPS if your hardware can handle the additional "overhead" (depending on the line-speed, you're using).

But only enable the services and program's you're using to/from "outside-world" (a home user normally don't publish some dns- or http-servies to the internet).

Enabled. I've seen lots of alerts over the years from overseas ad servers. 

Barry

Prior to going with Sophos I've ran pfsense on the same hardware. The overall performance of the IPS system was better than what I get with Sophos (e.g. with almost all rules turned on I got over 100mbps, where as with 12 month aging on Sophos I get just under 100 mbps).

With respect to catching: pfsense was actually catching a lot of "attacks", probably about 30+ per day. "Attacks" is a relevant term of course. In pfsense attack means any unauthorized access attempt. I had a rule in pfsense that would detect any connection to a privileged port that I didn't have open, or privileged to privileged port connections. Those were considered "attacks" and the attacker's IP address would be blocked. 

Having gone with Sophos I'm sure those "attacks" didn't stop, still there, but it is just tuned not to worry about those, as they'll be blocked by the FW anyway. 

I think there are two different philosophies here: 

(1) if you know that some IP address was trying to "hack" you, even something light, you know that nothing good can come out of that IP address and it should just simply be blacklisted and not processed in the future, what if they end up doing a more damaging attack in the future? Better be safe than sorry. 

(2) just worry about the attacks that really matter, don't fret the small stuff that will be blocked by the firewall anyway. This helps not to waste system resources.

I run it at home, but I tend to think lately it's largely a waste of time.  Mine has never caught anything of value according to stats.  I think since I've been running Sophos, I've had it say it caught one virus.  Previous to Sophos I ran Untangle for years, and don't think it ever really hit on anything--though it does use an inferior AV engine.

I ran Security Onion for a couple months as a test monitoring my network.  It came up with literally thousands of flagged items almost daily.  It pretty much takes a dedicated security team to sit and monitor the network and all these errors to determine what's actually a problem and what is OK.  Of the thousands of notifications you'd get through Snorby, only a hand full were indicated as high-level alerts--but again it's hard to get the wheat from the chaff sometimes.

I have been reading Richard Bejtlich's book on network security monitoring, and to be effective in stopping things you really have to be dedicated to take the time and actually learn what threats look like.  His position is you need to monitor & log everything passively with people monitoring expected threats (IDS instead of IPS).  If you can't actively monitor, then IPS is the next step.  The problem with IPS is that it has to be so finely tuned to the situation that it's difficult to stay ahead of the curve.  Presumably Sophos is doing that tuning themselves, but it's hard to say.

Mostly, Bejtlich says they will get in, so monitoring to find out what they did and controlling it is more effective than trying to play the never-ending game of IPS.  Of course, this is a far more serious level than what anyone at home can really achieve.  Ultimately though, it's almost impossible to stay ahead of the bad guys.  New stuff is coming out constantly.  Most of the rules are based on known threats, and all the zero-day type stuff is still going to get through.

Some of the threats are socially-engineered, and no manner of IPS will stop them.  I read of a man's challenge to break into his coworker's home network.  He didn't have any fancy UTMs, just practiced good security through his devices.  The guy couldn't get in, until a craftily-made email sent to his adversary let him right in the front door.

Some security systems are going towards whitelisting, instead of blacklisting.  This would allow known good items, instead of trying to identify known problems.  You can do this as a home user by implementing security on your Windows systems such as Software Restriction Policy.  Basically, it does not allow anything to run that you haven't given explicit permission to do so.  There are whitelists for the internet out there.

One of the reasons to go with monitor over intervention, is that intervention often breaks a lot of "good" items.  I know I run into issues all the time where the UTM is blocking something that is a good quantity.  Sometimes, when things just aren't working, it's difficult to pin down why.  Maybe it's the server end, but now you have to sort through logs to determine which of all the features is actually causing the hang-up.

Antivirus as a whole is going that direction as well.  There are a lot of people that are starting to move towards the idea of AV being less than stellar for any true protection.  You still don't have good zero-day threat protection, and some of these AV systems are just information gathering systems for the AV companies (there was an article about this where a site--maybe Anandtech--asked AV companies about data collection and it was very revealing).

Anyway, this is a long post that is probably more of a wider discussion than you were looking for, but addresses some of the issues as a whole.  For a home user, all this stuff is totally unnecessary for the most part.  I've actually considered dropping Sophos, or UTMs entirely, at home for some of these reasons.  A properly patched OS, with implementations like SRP, and you're going to have a very difficult time compromising the system at all.  However, there are a lot of things the UTM does outside of IPS that I do really appreciate (adblocking, outgoing email proxy, file extension blocking).  Some of them I just can't seem to get working the way I need it to (like VPN and dynamic DNS).

many things caught by your other solution aren't true attacks.  Sophos is very good at self-policing and not giving false positives.  I have a client who had your attitude and turned ips off.  This severely hampers ATP as well.   few weeks later something got into one of his machines and it got missed on the way out because ATP didn't have IPS as another resource.  I then went in..turned it on..and watched it light up.  From a security standpoint is ATP and IPS perfect?  Absolutely not.  Is it a great advance in easy to administer UTM network security?  Absolutely.

Get your bingo cards out

BINGO!

In a nutshell, "tuning" is required with any advanced device. This includes most parts of this UTM. IPS being one of the more notable of course. So, have it simply warn you out of the gate or know that if something you want to do or have been doing doesn't work, look at IPS as the culprit. Turn off things that don't apply to you. Which means IF you have no linux boxes or exchange services on your network, don't have the IPS looking for issues related to those.