Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2850 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Disable IPS/Portscans per host?

willm
Is there a way to disable an IPS rule per host rather than globally?  

Say I have an internal host which generates false positives, but I don't want to stop looking for outside hosts which might use the same exploit.  Can I do this?

Also can this be done for portscans?

Thanks,
Will


This thread was automatically locked due to age.
Parents
  • 0
    There isn't a way to disable IPS rules for specific hosts.

    You can disable portscan detection for specific inbound and outbound hosts.
  • 0 in reply to drees
    You can assign the internal port the trusted status and that will remove it from the scan.

    Ian M
  • 0 in reply to RFCat_vk_01
    Thanks for the replies, but I'm not willing to blindly trust my internal interface.  

    There may be internal hosts which are compromised which I don't know about until I see the alerts.  I can control some of my internal hosts and feel they can be excluded, but I can't control all my internal hosts.

    It's the same issue with IPS rules --- until I can verify that a host is not compromised, I can't say whether it's a false positive or not.  If I disable the IPS rule entirely, I am assuming that every alert from that rule is a false positive when in reality it might or might not be. 

    I wish there were some "exclude these hosts from alerts" function.  Maybe something for Astaro to add in the future?
Reply
  • 0 in reply to RFCat_vk_01
    Thanks for the replies, but I'm not willing to blindly trust my internal interface.  

    There may be internal hosts which are compromised which I don't know about until I see the alerts.  I can control some of my internal hosts and feel they can be excluded, but I can't control all my internal hosts.

    It's the same issue with IPS rules --- until I can verify that a host is not compromised, I can't say whether it's a false positive or not.  If I disable the IPS rule entirely, I am assuming that every alert from that rule is a false positive when in reality it might or might not be. 

    I wish there were some "exclude these hosts from alerts" function.  Maybe something for Astaro to add in the future?
Children