Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4929 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS - active or passive?

FreudianSlip
Hi,

I'm looking to introduce IDS to our site using one of our 2 425's.  The other 425 would perhaps perform the same function at a different site, depending on the answer to this question.

To implement IDS, does the Astaro have to be in-line with the data flow, i.e. have an incoming port which is scanned using IDS and then an outbound port for the data to continue (active), or can we use the Astaro in passive mode whereby we patch a SPAN or mirror port into one of the interfaces and have the ASG just inspect the traffic without interfering with the normal flow of data?

If the answer is that we need to run it in active mode, then we will have to use both 425's at our primary site in cluster mode in case of failure.

Thanks

Freudy


This thread was automatically locked due to age.
Parents
  • 0
    Currently IPS is implemented in inline mode, i.e. the data needs to flow through the machine. We don't offer a pure listening mode at the moment.

    Stephan
  • 0 in reply to Stephan_Scholz
    Hello.

    Just to verify.

    The ASTARO ASG 425a only works inline.

    That means that it doesn't work in TAP or SPAN mode right?

    Thank you.

    JDSB
  • 0 in reply to jshailer
    I suppose it could be hooked up to a mirror port on a switch, but it wouldn't have any effect on your "real" data stream. Astaro's implementation is meant to be an IPS more than an IDS, that'll protect your assets whether your monitoring it or not.
     
    I'd say try hooking one up this way and see if it works.  Remember though, that your paying for an active IPS, so if your not using it then you've reduced the ROI that Astaro provides.
Reply
  • 0 in reply to jshailer
    I suppose it could be hooked up to a mirror port on a switch, but it wouldn't have any effect on your "real" data stream. Astaro's implementation is meant to be an IPS more than an IDS, that'll protect your assets whether your monitoring it or not.
     
    I'd say try hooking one up this way and see if it works.  Remember though, that your paying for an active IPS, so if your not using it then you've reduced the ROI that Astaro provides.
Children
  • 0 in reply to Scott_Klassen
    Another option is to leave the ASG inline, but set the active attack patterns to "alert" instead of "drop".  You will probably want to set up some kind of inbox filtering rules to sort the notifications into a folder to keep your inbox from getting cluttered.
  • 0 in reply to Jack Daniel
    Another option is to leave the ASG inline, but set the active attack patterns to "alert" instead of "drop".  You will probably want to set up some kind of inbox filtering rules to sort the notifications into a folder to keep your inbox from getting cluttered.


    Thank you guys.

    Jack Daniel, Nope... we are trying something different.

    We would like to know if somehow one of the ASG ports can be used to monitor / record traffic so we can use a traffic analizer or log the traffic for a time frame.

    Also if that is possible I would like to know if encrypted traffic including SSL traffic can be analized and recorded (the content of all the packets).

    Best regards,

    JDSB.
  • 0 in reply to Scott_Klassen
    I suppose it could be hooked up to a mirror port on a switch, but it wouldn't have any effect on your "real" data stream. Astaro's implementation is meant to be an IPS more than an IDS, that'll protect your assets whether your monitoring it or not.
     
    I'd say try hooking one up this way and see if it works.  Remember though, that your paying for an active IPS, so if your not using it then you've reduced the ROI that Astaro provides.


    Yes, something like that Scott.

    We would like to have:

    • a port without and ip address,
    • used to mirror / monitor / record all the traffic 
    • it should be able to record encrypted and SSL encrypted traffic


    Do you know if that could be achieved using the UPLINK FAILOVER of the ASG?

    Thank you.

    JDSB
  • 0 in reply to jshailer

    We would like to know if somehow one of the ASG ports can be used to monitor / record traffic so we can use a traffic analizer or log the traffic for a time frame.

    Short answer is no.  Long answer is not supported, but could involve tcpdump and netcat on the ASG and a netcat listener on the network.
    As Scott suggested, setting up a SPAN/mirror port on a switch is a good solution, and probably the easiest.
    A better answer is a network tap and a *nix box capturing the traffic, that way you are less likely to lose anything than either of the above.


    Also if that is possible I would like to know if encrypted traffic including SSL traffic can be analized and recorded (the content of all the packets).

    No, since we do not intercept SSL and break it, we cannot look at the contents of the traffic.  If you capture the traffic, you could do flow analysis, but not inspection of the contents- that would require terminating the SSL connection from the clients and initiating a new connection on their behalf to the remote server, which would introduce certificate mismatch issues.  There are some specialty systems which can do SSL interception, but that is usually in SSL accelerators or in DLP systems.
  • 0 in reply to Jack Daniel
    Thank you for your quick reply Jack Daniel. It has been really helpful.

    Best regards,

    JDSB