Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 659 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS... anyone home?

SalishSwede
I've had IPS up and running since I upgraded to 7.x but to date I have not received a single alert.  Zero.

With 6.x, I would receive reports of things I could look into and generally I found nothing to be concerned with.  With no feedback at all, I'm thinking or at least wondering if this IDS feature is working at all.

Has anyone else seen this?

Thanks,

~D


This thread was automatically locked due to age.
  • 0
    I am getting fewer alerts than I was when testing version 6.303.  But I am still getting them.  I have a few false positive rules I had to disable and then it quieted down considerably.  

    Appears to be working well.
  • 0 in reply to lantech
    Looking over my logs of a month or two I can only see Warn and Info alerts.  Almost all alerts are associated with Double Decode Attacks and Bare Byte something-or-other.  Zero rules of any significance have showed up vs. hundreds per day on 6.x. 

    This is highly suspicious.

    I'm pondering putting a new IDS outside of my Astaro box to see just what is going on.  I'll update this thread if I get some interesting results.
  • 0 in reply to SalishSwede
    V7 has a new rule classification and the ruleset is different from V6. By default, only those rules are added that are a real attack (exploit etc.). If you want to see additional warnings, you need to enable "Add extra warnings" in the "Attack patterns" section in WebAdmin.

    Stephan
  • 0 in reply to Stephan_Scholz
    I might add that they've eliminated a lot of the nuisance rules (always false positives) from the total list of available rules... I still see warnings here and there, but the annoying rules I used to have to disable are gone.