Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Alerts - Non Exisitant

cbelmonte
Hi All,

I have several ASGs and ever since I upgraded to 7.3.x I have had almost no alerts what so ever. All the messages are turned on but nothing is coming up.  I know that sound like a good thing but I am used to seeing some alerts.  I did an internal scan with Nessus to see if it could detect the suspicious activity and it didn't pick it up at all.  

Is there a known issue with the IPS/IDS functionality?


This thread was automatically locked due to age.
  • 0 in reply to Kingbuzzo
    we do have the same issue on three Astaros, and after upgrade to 7.305, Network Security is still not producing statistics.
  • 0 in reply to shadowfly
    Maybe it is just one of the useless tabs like IM which only tells you the destination IP's...

    [:(]
  • 0 in reply to Kingbuzzo
    Hi Kingbuzzo,

    I found my problem!
    In my IPS configuration I added some rules to exclude Intrusion Protection on Internal Network from/to trusted sources/destinations.

    If enabled just one of this exclusion rules, the IPS doesn't work, only port scan is detected!
    So don't use "Internal network" definition in your exclusion rules if you want to protect your internal network.

    Try to check if you enabled some kind of similar rules on your configuration....

    Bye
  • 0 in reply to mdallagi
    hmmm...

    I don't see an "exclusion rule" area at all, only an exception tab and I just have the defaults selected.

    However, under the General Tab I have "internal only" selected as it suggests: 

    "To start the Intrusion Protection System, please specify your Local networks and a policy to apply to detected attacks."
  • 0 in reply to Kingbuzzo
    Hi Kingbuzzo,

    my real problem was that I used the exception rules as AND expressions but on v7 the exception rules are ORed.
    If I define an exception rule like:

    - No IP
    - Source host = a.b.c.d
    - Dest NET = Internal network

    the effect is that IPS is disable if Source host is a.b.c.d OR destination net is "Internal network"

    Bye