IPS Alerts - Non Exisitant

I have the same issue but I haven't had a chance to look into it.

We are using the ASG primarily for proxy but it is strange it never picks up anything.

Try the update to 7.305 that I think was pushed out today (or yesterday).

The first line for improvements listed was database stability, which I am hoping addresses my issues.

My packet filter log is working correctly, but reporting is not so I cannot see anything being reported to Network Security.

Hi all,

for me the same strange behaviour... with v6 on a front end firewall I received every day several log messages from IPS.
After migration to v7.304...the silent.
I enabled also the port scan detection, in fact I found some detection on /var/log/ips.log but nothing about IPS rules.
I can think Astaro may limits the notification on v7 but the intrusion attempts should be logged on ips.log

After my upgrade to 7.305, Network Security is still not producing statistics.

Today I did some penetration tests with a Nessus 3 on an external pc against a v7.305 that publishes some services like ftp, smtp...
On this firewall the IPS is enabled with extra warning on those published services.
The Nessus reports the published services but the ips.log is still empty!
However it seems that Nessus is not able to penetrate the firewall but simply report the opened ports.
May be IPS is able to block the intrusion attempts but it is important to be informed about it.

No answers on this thread about this problem, so I'll open a support ticket to Astaro.

I let you know...

I know this one sounds obvious- but please make sure that email notifications are turned on for IPS (under Management > Notifications > Notifications tab).

I have seen a few systems recently where all IPS email notifications have been disabled.

My e-mail notifications were disabled but would also mean there would be nothing in the report?

That would not explain empty reports.  Anything in the IPS logs?  There may be another issue if the IPS logs have events, but they aren't making it to reports.

Hi Jack,

yes, my IPS notifications are all enabled.
The ips.log is always empty.

There is just a little bit of stuff in there and I am now just receiving port-scan type alerts via e-mail however, the reporting is still empty.

Maybe it takes awhile for it to populate?

I still find it strange that it wouldn't be auto-populated even if I didn't enable the e-mail alerts.

we do have the same issue on three Astaros, and after upgrade to 7.305, Network Security is still not producing statistics.

we do have the same issue on three Astaros, and after upgrade to 7.305, Network Security is still not producing statistics.

Maybe it is just one of the useless tabs like IM which only tells you the destination IP's...

[:(]

Hi Kingbuzzo,

I found my problem!
In my IPS configuration I added some rules to exclude Intrusion Protection on Internal Network from/to trusted sources/destinations.

If enabled just one of this exclusion rules, the IPS doesn't work, only port scan is detected!
So don't use "Internal network" definition in your exclusion rules if you want to protect your internal network.

Try to check if you enabled some kind of similar rules on your configuration....

Bye

hmmm...

I don't see an "exclusion rule" area at all, only an exception tab and I just have the defaults selected.

However, under the General Tab I have "internal only" selected as it suggests: 

"To start the Intrusion Protection System, please specify your Local networks and a policy to apply to detected attacks."

Hi Kingbuzzo,

my real problem was that I used the exception rules as AND expressions but on v7 the exception rules are ORed.
If I define an exception rule like:

- No IP
- Source host = a.b.c.d
- Dest NET = Internal network

the effect is that IPS is disable if Source host is a.b.c.d OR destination net is "Internal network"

Bye