Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2554 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Prevention????

coolrunner
Hi,

I got a number of attacks like:
WEB-PHP PayPal Storefront arbitrary command execution attempt

So I wanted to drop the connection when snort detects this alert. I modified the IPS rulebase to drop the connection when an alert comes through.
But nothing happens. I can visit the website normaly and I still get the alert massage from snort.
What did I wrong?
Why the connection deosn´t drop??

Thanks for responses!


This thread was automatically locked due to age.
  • 0
    The Snort Inline module will alert on either an alert rule or a drop rule. This behavior is normal.
    The Snort inline engine drops the offending packets allowing non-attack traffic through. It doesn't use the RESET (REJECT, oops) function included in the active response function of normal Snort which would cause the whole connection to reset.
    Can you verify that the actual attack is getting through to the web server? That would be the real indicator. If you can show that a DROP rule triggered an alert yet still allowed the traffic to pass, you'd have one hell of a bug there. If this was confirmed, I'd run screaming from ASL-IPS as fast as I could.
  • 0
    also make sure your webserver is running hte latest apache and php versions to also mitigae this attack.  Having iips/ids is one thing..not patching your boxes is not good security policy.  The ips/ids can tell you if thoswe attacks are coming but relying on them rather than on them AND patching is a network compromise waiting to happen.
  • 0 in reply to William Warren
    Anyone of u guys know, if the IDS feature includes anormal traffic detection, like e.g. Packet Alarm does?
  • 0 in reply to THoehne
    Packetalarm uses the same IDS/IPS as Astaro... SNORT
  • 0 in reply to Simon Shaw
    So why can't i configure the anormal traffic feature?
  • 0 in reply to THoehne
    Sorry not sure what you mean. Do you mean abnormal traffic feature?  I'm not familiar with packetalarm itself or SNORT.  But PacketAlarms site clearly states they use SNORT.
  • 0 in reply to Simon Shaw
    Thats what PacketAlarm says to anormal traffic detection:

    "Attacks and the effects of attacks often cause irregularities in data traffic. A sudden increase in data volume or the shutdown of an Internet service can be signs of an attack. PacketAlarm's anomaly detection displays and notifies deviations from "normal" data volumes. PacketAlarm can learn what data volume is considered "normal", and this can also be configured by administrators. Anomalies can be defined for networks, individual machines and even individual ports on machines. If a value deviates from a normal value by a specified percentage for a defined time range, this is reported."

    I'm also new to the IDS/IPS stuff and like to be aware of what ASTARO is able to block/detect and what not...
  • 0 in reply to THoehne
    Astaro can block a range from nothing to naything dpending on how you configure it.  Look at hte ids/ips rules that is has lited..turn all of those on and you may as well unplug the network because not much is going to get out or in..[:)]