Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3347 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Alerts - Non Exisitant

cbelmonte
Hi All,

I have several ASGs and ever since I upgraded to 7.3.x I have had almost no alerts what so ever. All the messages are turned on but nothing is coming up.  I know that sound like a good thing but I am used to seeing some alerts.  I did an internal scan with Nessus to see if it could detect the suspicious activity and it didn't pick it up at all.  

Is there a known issue with the IPS/IDS functionality?


This thread was automatically locked due to age.
Parents
  • 0
    I have the same issue but I haven't had a chance to look into it.

    We are using the ASG primarily for proxy but it is strange it never picks up anything.
  • 0 in reply to Kingbuzzo
    Try the update to 7.305 that I think was pushed out today (or yesterday).

    The first line for improvements listed was database stability, which I am hoping addresses my issues.

    My packet filter log is working correctly, but reporting is not so I cannot see anything being reported to Network Security.
  • 0 in reply to mdallagi
    I know this one sounds obvious- but please make sure that email notifications are turned on for IPS (under Management > Notifications > Notifications tab).

    I have seen a few systems recently where all IPS email notifications have been disabled.
  • 0 in reply to Jack Daniel
    My e-mail notifications were disabled but would also mean there would be nothing in the report?
  • 0 in reply to Kingbuzzo
    That would not explain empty reports.  Anything in the IPS logs?  There may be another issue if the IPS logs have events, but they aren't making it to reports.
  • 0 in reply to Jack Daniel
    Hi Jack,

    yes, my IPS notifications are all enabled.
    The ips.log is always empty.
  • 0 in reply to mdallagi
    There is just a little bit of stuff in there and I am now just receiving port-scan type alerts via e-mail however, the reporting is still empty.

    Maybe it takes awhile for it to populate?

    I still find it strange that it wouldn't be auto-populated even if I didn't enable the e-mail alerts.
  • 0 in reply to Kingbuzzo
    we do have the same issue on three Astaros, and after upgrade to 7.305, Network Security is still not producing statistics.
  • 0 in reply to shadowfly
    Maybe it is just one of the useless tabs like IM which only tells you the destination IP's...

    [:(]
  • 0 in reply to Kingbuzzo
    Hi Kingbuzzo,

    I found my problem!
    In my IPS configuration I added some rules to exclude Intrusion Protection on Internal Network from/to trusted sources/destinations.

    If enabled just one of this exclusion rules, the IPS doesn't work, only port scan is detected!
    So don't use "Internal network" definition in your exclusion rules if you want to protect your internal network.

    Try to check if you enabled some kind of similar rules on your configuration....

    Bye
  • 0 in reply to mdallagi
    hmmm...

    I don't see an "exclusion rule" area at all, only an exception tab and I just have the defaults selected.

    However, under the General Tab I have "internal only" selected as it suggests: 

    "To start the Intrusion Protection System, please specify your Local networks and a policy to apply to detected attacks."
  • 0 in reply to Kingbuzzo
    Hi Kingbuzzo,

    my real problem was that I used the exception rules as AND expressions but on v7 the exception rules are ORed.
    If I define an exception rule like:

    - No IP
    - Source host = a.b.c.d
    - Dest NET = Internal network

    the effect is that IPS is disable if Source host is a.b.c.d OR destination net is "Internal network"

    Bye
Reply
  • 0 in reply to Kingbuzzo
    Hi Kingbuzzo,

    my real problem was that I used the exception rules as AND expressions but on v7 the exception rules are ORed.
    If I define an exception rule like:

    - No IP
    - Source host = a.b.c.d
    - Dest NET = Internal network

    the effect is that IPS is disable if Source host is a.b.c.d OR destination net is "Internal network"

    Bye
Children
No Data