Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3646 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS not "snorting" http-traffic on other ports that 80?

ITMannen
I have recently installed a load balancer and suddenly find myself not get any hits in the IDS reports. I usually had around 50-100 attempts daily (i am running two quite large websites).

What i do is that i map incoming http to the load balancer, where the inside ports on the load balancer is for example 8001 and 8002. Then the load balancer in its on turn access the webservers on port 80.
However, the incoming traffic on the outside interface is of course still port 80.

My question is if this is the reason the IDS is not working? Only other reason i can think of is that this has happened after the 7.303 upgrade. Not a single "intrusion attempt" in more than two weeks is sooo way off my usual stats.

Any clues and guesses?

Mats


This thread was automatically locked due to age.
Parents
  • 0
    Is the load balancer behind the firewall?

    Do you have the load balancer included in the list of "http servers" in Astaro's IPS setup under 'advanced'? (you should have all your web servers and loadbalancers in there)

    Barry
  • 0 in reply to BarryG
    Is the load balancer behind the firewall?

    Do you have the load balancer included in the list of "http servers" in Astaro's IPS setup under 'advanced'? (you should have all your web servers and loadbalancers in there)

    Barry


    Yes, the load balancer is added to the webservers group as well.

    What i suspect is that the ruleset only looks at port 80 on the "inside".

    However, i have several external IP's pointing to the load balancer which then sends the requests to the web-server farm. So i really need to use other ports than 80 on the "transfer traffic" from the firewall to the load balancer.

    Before the IDS swallowed quite a lot of attacks.

    Also i have seen other suspicious things happening when upgrading to 7.303. The system is swapping (i do have 1 gig ram) and the number of concurrent connections is constantly rising, from 1500 to almost 4000 in less than a week. According to google analytics and our own stats we do not have more visitors.
  • 0 in reply to ITMannen
    We normally set IPS to NOT consider internal traffic.  You said you have "several external IP's pointing to the load balancer" - I assume you mean that you have DNAT'd external IPs to the load balancer.

    Now that you mention it.  I just checked, and a client on V7.302 that hosts about 20 websites also has no IPS activity on their weekly report from yesterday.  So, maybe there's a problem with the current rule set as opposed to V7.303.

    Also curious - Bob
  • 0 in reply to BAlfson
    We normally set IPS to NOT consider internal traffic.  You said you have "several external IP's pointing to the load balancer" - I assume you mean that you have DNAT'd external IPs to the load balancer.

    Now that you mention it.  I just checked, and a client on V7.302 that hosts about 20 websites also has no IPS activity on their weekly report from yesterday.  So, maybe there's a problem with the current rule set as opposed to V7.303.


    Thats correct sir, i dnatted several external IP:s to a common load balancer.

    Going back in "ye olde logs" actually points to the problems arised with the 7.303 update.

    So the questions arise, is the IDS not logging, or is the IDS not doing squat about HTTP?

    I still get IDS events from agressive mail clients etc, so there is snorting being commenced somewhere.
  • 0 in reply to ITMannen
    Interesting.  What HTTP attacks were you experiencing earlier?

    I agree that the phenomenon began with the arrival of 7.303, but I'm guessing that it was related to the IPS rule set update that arrived with that package.  Those still on 7.302 would also have received the new rule set via Up2Date.

    Cheers - Bob
  • 0 in reply to BAlfson
    Interesting.  What HTTP attacks were you experiencing earlier?

    I agree that the phenomenon began with the arrival of 7.303, but I'm guessing that it was related to the IPS rule set update that arrived with that package.  Those still on 7.302 would also have received the new rule set via Up2Date.

    Cheers - Bob


    Well, a normal day at the office would be:

    Total attack events: 633
    Top Rule ID Rule Name Group Events % of total
    1 2229 WEB-PHP viewtopic.php access Server / HTTP / PHP 290 45.81%
    2 1807 WEB-MISC Chunked-Encoding transfer attempt Server / HTTP / Common 82 12.95%
    3 7070 WEB-MISC encoded cross site scripting attempt Server / HTTP / Common 78 12.32%
    4 2002 WEB-PHP remote include path Server / HTTP / PHP 60 9.48%
    5 2515 WEB-MISC PCT Client_Hello overflow attempt Server / HTTP / Common 47 7.42%
    6 1497 WEB-MISC cross site scripting attempt Server / HTTP / Common 32 5.06%
    7 1091 WEB-MISC ICQ Webfront HTTP DOS Server / HTTP / Common 24 3.79%
    8 11687 WEB-MISC Apache SSI error page cross-site scripting Server / HTTP / Apache 13 2.05%
    9 3153 DNS TCP inverse query overflow Server / Misc / DNS 6 0.95%
    10 5715 WEB-MISC malformed ipv6 uri overflow attempt Server / HTTP / Common 1 0.16%

    Since i run two quite popular e-shops we do get our share of people trying to abuse the site.

    But since the update, nada.

    However, when i made the update i also installed the load balancer, dont know which one is the culprit. But since i have another webserver outside the balancer and not a single IDS event from it i start to wonder.
  • 0 in reply to ITMannen
    I agree that it seems unlikely.  Since we are seeing the same phenomenon, I think there's a problem either with reporting or with the rule set that went out to everyone at the same time as the 7.303 update.

    Gert, Tom, Jack, is there a problem?

    Cheers - Bob
  • 0 in reply to BAlfson
    This is the first I've heard of IPS problems.  Are you getting email notifications?  I wonder if there might be a reporting problem, not really an IPS issue.  Anything odd in the system log?  IPS log look OK?
  • 0 in reply to Jack Daniel
    No notifications.  IPS log shows activity.
  • 0 in reply to BAlfson
    I also have activity, and the IDS do report other things, like IMAP flooding etc.
    But nothing http related.
  • 0 in reply to ITMannen
    Yet another day with not a single incident in the IDS log...
    Any news on the issue?
Reply Children
No Data