Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question on IDS (non) Reporting

shelt
Hi,

I upgraded my home firewall from IPCop (and m0n0wall) to Astaro 6.2.  With IPCop, i received regular SNORT alerts, often things like SQL expoits originating from China (3-4 per day, for example).  

My Astaro 6.2 has been running for 3 days, and I have not seen any external attack alerts.  I have received numerous internal alerts (MSN, Skype, AOL, etc), so I know SNORT is running OK.  I can't believe it's just luck that I haven't had any external issues.  My IDS interface box is "empty", so all interfaces/networks should be monitored.

So...my only theory is that SNORT as deployed here only reports issues with open ports.  Is that the case?  My rules only permit forms of outbound traffic, but no incoming.

In other words, will I only see external threats if they are attempting to exploit open ports?

Thanks in advance!  I'm thrilled qith the quality and features of this product!

Rich


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
    In other words, will I only see external threats if they are attempting to exploit open ports? 

    [/ QUOTE ]
    Yes, you can explain it in that way. If you want to receive some "alert" messages, try the "security checks" from  alken.nl. You should reveive some intrusion protection mails.
    So you can make sure that the IDS is running correctly, just try a few tests from that site.
Reply
  • 0
    [ QUOTE ]
    In other words, will I only see external threats if they are attempting to exploit open ports? 

    [/ QUOTE ]
    Yes, you can explain it in that way. If you want to receive some "alert" messages, try the "security checks" from  alken.nl. You should reveive some intrusion protection mails.
    So you can make sure that the IDS is running correctly, just try a few tests from that site.
Children
  • 0 in reply to Zitronennetz
    Thanks for the quick reply.  If I understand you correctly, I'll need to open an inbound port or two, and then run some of these tests to trigger a notification.   

    With IPCop+SNORT, the notifications are always logged even when all inbound ports are closed.

    I guess the Astaro implementation makes more sense given the assumtion that closed ports are safe.
  • 0 in reply to shelt
    You don't need to open any ports just try some of these tests. I had this "problem", too but after doing some of these tests I received some IDS alerts and port scan detection messages.
    Astaro itself doesn't open any ports in standard configuration if you don't want to use SSH remote control all ports should be "closed". 
    You can check your Astaro FW for open ports with  this test but it can keep a few hours until the test is finished when you instruct Astaro to drop port scans.