Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS=> What Interface to put?

Alvin
Hi

I need your advice on what to put in the IDS Local Networks?
I used to put my LAN Network, SSL VPN Network but that does not trigger anything.

Recently, Just for fun, I put ANY and now it detects Internal -> Internet IP Address, something etc.

So should I keep it to ANY or what?

Hope you see the part that is confusing.

1) If I do put my LAN Network ( I did not put broadcast, or address), it does not seem to detect anything.
2) If I put any, it would show some alerts. So why the above does not work?

There are downside to ANY even thought seem super good to protect everything, it is very slow and surfing to website often sees error message about "reset connection" click Try again and second time it displays.

[:S]


This thread was automatically locked due to age.
  • 0
    The Internal Networks list is normally set to include, well, your internal network(s), and DMZs.  If you want to test for effectiveness, run a penetration test against your outside interface... on some links, we rarely see an IPS event triggered, on others, it's a constant thing.
  • 0 in reply to BrucekConvergent
    This is a painful reminder to me of the inadequacy of the Astaro documentation both for solution partners and Astaro support engineers.  It should be said more loudly, Bruce; DON'T PUT ANYTHING related to the External Interface in the Internal Networks box!

    Several years ago, we installed the first ASG we'd sold, a 120, in a company with about 40 employees.  At first, it worked fine, then, it kept locking up, sometimes indicating on the Executive Report that there were petabits of traffic on the interfaces!

    Eventually, a new person took over responsibility for their IT infrastructure.  He was less understanding of having to reboot the ASG at least every few days and sometimes twice a day.  When the renewal came up, they replaced the ASG with a competitor's box.   Astaro and I lost a customer.

    Over a period of 10 months, I had logged seven different cases with Astaro Support for this box related to this issue.  Not one Astaro engineer thought to look to see that I had added 'Any' to the list of Internal Networks as an experiment that I'd forgotten.  The only comment I'd gotten from Astaro was that IPS "takes a while to tune."  It was a year after the customer fired us that I figured out the mistake I'd made almost two years earlier.

    It's hard for me to imagine that I was the first idiot to invent this mistake!

    Bob
    PS Since I speak German, I had checked the Astaro documentation in German and also found nothing about lockups caused by this error or that this issue should be checked if you were having lockups.
  • 0 in reply to BAlfson
    Hi there guys, 

    the Idea Astaro has is that the IPS comes AFTER the packetfilter has been passed. 
    As it does not make sense, at least to me, that you do IPS in packets which you will drop by the packetfilter anyway.

    If you put your "Internal Network" into the configuration, all traffic coming from this network or going to this network will sent to the IPS subsystem. 

    Also the IPS rules have a direction. 
    Some are to protect your server, some are to protect your client. 
    In both cases we use the "Internal Network" as the client or the server network. 

    In my opinion the best ips system is, which does not produce a lot of false-postitives and only blocks real threats. THis is the way the ASG IPS system is configured and tuned. 

    If you supply "Any" as the local network, it mixes up the whole logic which is in place to atomatically tune the ips for performance and reduce false postivis, leading to less performance and more false-positives.

    I expect that was, what you have experienced. 

    i hope that was understandable. 

    thanks for using our product and best regards
    Gert
  • 0 in reply to Gert Hansen
    Thank You Gert for that informative reply.

    Now that I know how the IPS Behaves and it does look at the traffic direction, yes it makes sense now.

    Initially I always have the idea might as well have IDS at the External Interface just to make sure malicious packets is dropped there.

    It is just like those stand alone IDS whereby you put in front and back concept.