User Policy based IPS

yeah, would be verry nice  [:)]

A possible work around, I guess.
Would be to require everyone who uses the internet to be connected via PPTP (it could even be setup to connect the users machine at start-up). Each user ID can be assigned a specific PPTP IP address. That way, regardless of where the user is, their login id follows them. It will work independent of machine IP address or MAC address. It's a little time consuming to set up but it should give you the IP level access control without the worry of having users change their IP addresses.

But how does this say allow me to let one user chat, but not use vnc.

If i use an exclusion rule on his ip address, he is not subjected to any IPS rules.

therefore it would be great to be able to have a granular IPS module similar to that available on the cobion section where policies can be created based on user.

Sure he would. You're not excluding him from the IPS system. You'd just be allowing certain IP addresses/port combinations the ability to access the internet through the firewall using the packet filter. IPS would still see all the traffic.
For example:
Bob logs in to PPTP and always gets IP 192.168.100.1 based on his login ID.
We want Bob to able to access the internet (Ports 80,443), and send mail (port 25). So we create packet filter rules to allow those selected services and verything else gets blocked by default.

Hi,
with the packetfilter i allow a device to use port 80 but i dont see this way wich user uses wich service over port 80 (for example chat and upgrading of software and maybe windows is not wished for everyone but it works over port 80 and uses http).

firebear

Ohhhh, I see. You want to allow surfing of the web on port 80 but block other uses of that port using snort_inline based on user related snort rules.
Yes, it can be done but not using existing ASL functionality.
You'd have to set up the Whole PPTP VPN or somehow statically assign users IP addresses.
Load these IPs into snort.conf with variable names assigned.
Then use some type of script to create snort rules based on user's IP and rule groups. The script can even customize the message "Attemped HTTP_GET by Bob Smith"
It could quickly become a MASSIVE rule set and create a huge performance hit.

Hi Gang,

I have found a small solution to this problem.

User-A must be allowed to access some sort of functionality that the overall IPS ruleset blocks.

The rest of the users are blocked through the overall IPS rules.

First I created a Local User and assigned him SOCKS-PROXY Access and gave him a password that only he knows.

Then I set up the software on his PC that should be allowed access through the IPS so that each package on this PC uses SOCKS-5 with Authentication and the standard 1080 Port.

This way each user that you allow socks access can get through the firewall without being blocked by IPS.

If you do not want the user configuring more than just the packages that you specifically permit then configure access on the users PC and do not let them know what their socks user password is. Note you can name your local users based on either actual user or application. so you could have Local user JOHN-DOE or Local user SKYPE or MSN-CHAT.

Thats how i have managed to get arround this clients request, the solution works but may not be the most efficient or gracefull.

Anyone have ideas to make this idea better, please play with the idea and get back to me.

Thanks guys.