Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Alerts - Non Exisitant

cbelmonte
Hi All,

I have several ASGs and ever since I upgraded to 7.3.x I have had almost no alerts what so ever. All the messages are turned on but nothing is coming up.  I know that sound like a good thing but I am used to seeing some alerts.  I did an internal scan with Nessus to see if it could detect the suspicious activity and it didn't pick it up at all.  

Is there a known issue with the IPS/IDS functionality?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Kingbuzzo
    Try the update to 7.305 that I think was pushed out today (or yesterday).

    The first line for improvements listed was database stability, which I am hoping addresses my issues.

    My packet filter log is working correctly, but reporting is not so I cannot see anything being reported to Network Security.
  • 0 in reply to Amodin
    Hi all,

    for me the same strange behaviour... with v6 on a front end firewall I received every day several log messages from IPS.
    After migration to v7.304...the silent.
    I enabled also the port scan detection, in fact I found some detection on /var/log/ips.log but nothing about IPS rules.
    I can think Astaro may limits the notification on v7 but the intrusion attempts should be logged on ips.log
  • 0 in reply to mdallagi
    After my upgrade to 7.305, Network Security is still not producing statistics.
  • 0 in reply to Amodin
    Today I did some penetration tests with a Nessus 3 on an external pc against a v7.305 that publishes some services like ftp, smtp...
    On this firewall the IPS is enabled with extra warning on those published services.
    The Nessus reports the published services but the ips.log is still empty!
    However it seems that Nessus is not able to penetrate the firewall but simply report the opened ports.
    May be IPS is able to block the intrusion attempts but it is important to be informed about it.

    No answers on this thread about this problem, so I'll open a support ticket to Astaro.

    I let you know...
  • 0 in reply to mdallagi
    I know this one sounds obvious- but please make sure that email notifications are turned on for IPS (under Management > Notifications > Notifications tab).

    I have seen a few systems recently where all IPS email notifications have been disabled.
  • 0 in reply to Jack Daniel
    My e-mail notifications were disabled but would also mean there would be nothing in the report?
  • 0 in reply to Kingbuzzo
    That would not explain empty reports.  Anything in the IPS logs?  There may be another issue if the IPS logs have events, but they aren't making it to reports.
  • 0 in reply to Jack Daniel
    Hi Jack,

    yes, my IPS notifications are all enabled.
    The ips.log is always empty.
  • 0 in reply to mdallagi
    There is just a little bit of stuff in there and I am now just receiving port-scan type alerts via e-mail however, the reporting is still empty.

    Maybe it takes awhile for it to populate?

    I still find it strange that it wouldn't be auto-populated even if I didn't enable the e-mail alerts.
  • 0 in reply to Kingbuzzo
    we do have the same issue on three Astaros, and after upgrade to 7.305, Network Security is still not producing statistics.