Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 413 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Rules lacking on V7

asg-user
I think the new 'Attack Patterns' IPS rules on V7 is poorly designed compared to V6 where we can drill down to particular rule. A write-up in Network World agrees with my opinion as well. Here is a quote:

"We noted design issues related to adding UTM features to traffic flows elsewhere, but IPS management is a particularly weak spot from an enterprise viewpoint. With the IPS, Astaro has broken up Snort’s huge rule base into digestible chunks, but there is no way to drill down and get to individual rules, as would be needed in an enterprise network."

http://www.networkworld.com/reviews/2007/111207-utm-firewall-test-astaro.html?page=2

I understand that Astaro is trying to make IPS "EASY". The fact is that security should not be easy. What's easy for administrator is probably going to be easy for hackers. The end users should be able to control what they want, not depend on the system to make judgments.

This and this alone just seems to bring an awesome system a notch down.


This thread was automatically locked due to age.
Parents
  • 0
    I would like to second this opinion, but for another reason. There is a vast amount of documentation on how to get Snort to do different things. But a very small amount of documentation on how the various Astaro screens actually map to Snort configurations.

    It might be helpful to add some sort of "smart user" profile to the entire Astaro system, so that the underlying software could be leveraged more effectively.

    I know for instance that it is very clunky to add one's own block list. But at the same time, Astaro does not provide a block list for ads.

    It is fine line that needs to be walked between revenue "protection" and enabling customers to get their software working the way they want. I would urge Astaro to learn towards the "customer can get the software to work the way they want" side of the fence. Otherwise, the customer is not happy and will want to use another product.
  • 0 in reply to proxyagenda
    The old version 6 IPS settings were so horribly slow that it would sometimes exhaust my poor 120 just loading them--so I can see why they'd make this change, although that's really just a workaround for not so hot design in the script that was handling it to begin with.

    That stated, the previous guy is dead-on.  I'd really *much* rather be able to customize the settings for example, so that my only exposed remote admin service (ssh) defaults to drop for all new rules, but completely disable "Message........: SCAN Potential SSH brute force attempt inbound" since I'd rather handle it at the host level (bad, I know) than have to even deal with the amount of traffic and filtering necessary for the 340 warnings it issued over the weekend.  

    Drop on the normal HTTP vectors is one thing--but I really can't afford to be blocking our office because two or three people behind the NAT happened to make a typo or forgot they changed their passwords...
Reply
  • 0 in reply to proxyagenda
    The old version 6 IPS settings were so horribly slow that it would sometimes exhaust my poor 120 just loading them--so I can see why they'd make this change, although that's really just a workaround for not so hot design in the script that was handling it to begin with.

    That stated, the previous guy is dead-on.  I'd really *much* rather be able to customize the settings for example, so that my only exposed remote admin service (ssh) defaults to drop for all new rules, but completely disable "Message........: SCAN Potential SSH brute force attempt inbound" since I'd rather handle it at the host level (bad, I know) than have to even deal with the amount of traffic and filtering necessary for the 340 warnings it issued over the weekend.  

    Drop on the normal HTTP vectors is one thing--but I really can't afford to be blocking our office because two or three people behind the NAT happened to make a typo or forgot they changed their passwords...
Children
No Data