Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2174 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Out of the box configuration defaults to permit?

Hamilton
OK, let me start out by saying I am a newbee, I have never setup a firewall at this level and I have no training in security. I did some research and decided based on what I read to buy an ASG 220. I read through the setup instructions and got the device up and running with a few snags but minimal effort. Then I started looking into the Intrusion Protection System and found that for the most part, the system is setup to "Allow and Log" the thousands of rules in the rule set. This seems odd to me, as it is just this "Default Permit" mentality that is what most people cite as one of the biggest flaws in Microsoft products. Wouldn't it make sense to have the IPS locked down out of the box and have to open it up as opposed to the system open and have to lock it down? I am sure this is due to my ignorance but, am I missing something?

- Hamilton


This thread was automatically locked due to age.
Parents
  • 0
    Out of the box Astaro permits NOTHING. The IPS rules are to detect intrusion attempts, they do not allow access to you LAN.
    Access to your internet access is controlled by the filter rules, NAT and proxies. Access to your LAN fromn the internet or other interfaces is controlled by filter rules.

    NO rules no access it is a simple as that.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    Thanks Ian,

    Well, I warned you I was a newbee, (thanks for being gentle).

    So, let me see if I understand; the packet filter rules control what goes in and out of the firewall. So if I have a rule that says Source - Internal (Network), Service - Any, Destination - Any, and no other rules, that nothing from the outside gets in unless invited. And the Intrusion Protection System watches what is invited and detects intrusion attempts.

    If this is the case, then shouldn't the IPS default to drop all intrusions, since by definition, all intrusions are unwanted?

    I'm still confused,
    - Hamilton
  • 0 in reply to Hamilton
    Correct. (don't forget MASQ if you need it)

    IPS: many rules are prone to false positives, so it's not configured to drop by default on most of the IPS rules.

    Barry
  • 0 in reply to BarryG
    Thanks Barry,

    So, what is the downside to false positives?

    - Hamilton
  • 0 in reply to Hamilton
    If you enable DROP on rules which have false positives, you might be blocking valid traffic.

    Barry
Reply Children
No Data