Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 7253 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Exceptions

chrlet
I am puzzled by the exceptions to Astaros IPS. I have a Astaro box with one external interface and two internal interfaces/networks. 

Both these networks are protected by IPS and I would like them to stay that way. However I am constantly pushing large files between the two internal networks and the CPU on the firewall is snorting away at max capacity, seriously crippling network speed. It is my intention to turn of snort on packages traveling through the firewall origination from one of the two networks and with the other network as destination. Is this doable?

If I add two exceptions to the IPS, one making exception from IPS when traffic is coming from lan1 and with lan2 being the destination, and then another exeception only this time reversing the source and destination networks. Will this do what I want or will it simply turn of IPS completely and expose my internal networks to instrusions originating from my external interface?

Yes, I suppose this is a silly question, but the documentation isn´t really any good.

Regards Christoffer


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to mdallagi
    Thank you guys for all your responses. I solved the problem by creating an exception with my two internal networks as sources. I had a look aswell at the post where mdallagi was informed about exceptions being ORed and not ANDed, which also helped me. Might ad that while having the exceptions being ORed would be intelligible if it was well documented, it´s still rather counter intuitive :-)

    Regards Christoffer
  • 0 in reply to chrlet
    Hello Christoffer,

    I'm glad to know that my post was useful for your configuration.
    The IPS exceptions are not well documented but when you create a new exception
    the title says:

    when any of the following networks are involved:

    The word any actually means "ORed" (I was deceived too time ago....).

    However the ORed configuration limits the possibility of filtering.
    I hope in the next Astaro release (not in 7.4 :-(

    Bye
  • 0 in reply to mdallagi
    In effect, the Exclusions are ANDed with the 'Local networks' listed on the 'Global' tab.  I don't understand what filter might need to write with AND.

    Thanks for your ideas.

    Cheers - Bob
  • 0 in reply to mdallagi
    I think there's some confusion here.

    Talking about 7.30x...
    Network Security » Intrusion Protection - Exceptions

    YES, if you put in multiple networks in the SOURCE NETWORKS, they will be OR'd.

    YES, if you put in multiple networks in the DEST NETWORKS, they will be OR'd.


    However, I _think_ that if you define BOTH ONE SOURCE AND ONE DEST, that it SHOULD only match this exception when BOTH the SOURCE AND DEST match.
    e.g. similar to a PacketFilter rule, you (can) have both a source and dest in one rule.
    This may not be how it actually works though.

    If it does do what I think, then the solution to the original question is to define an IPS exception with LAN1 as source, and LAN2 as dest.

    hope that helps, and I hope it works like I think it should.

    Barry
  • 0 in reply to BarryG
    OK, Barry, I think you know this a lot better than I, so I'm uncomfortable because I don't think it works as you describe.

    Here's how I understand it:

    If you have Lan1 and Lan2 set as 'Local networks' on the 'Global' tab, then traffic through them is examined by IPS.

    If you list Lan1 as a 'Source Exclusion', then traffic originating in Lan1 won't be checked.

    If you list Lan2 as a 'Destination Exclusion', then traffic to it won't be checked regardless of where it comes from.  Listing Lan2 as a 'Destination Exclusion' is the same as leaving it out of 'Local networks' in the first place.


    That said, I would welcome any corrections.

    Thanks - Bob
  • 0 in reply to BAlfson
    Hi Bob and Barry,

    consider this https://community.sophos.com/products/unified-threat-management/astaroorg/f/95/t/67039

    It's related to 7.4 beta but the behavior is the same on 7.3 and this confirm "source net" OR "dest net" on the exception.
  • 0 in reply to mdallagi
    Right.  Tom's point was that the present approach only requires you to identify EITHER the source or destination instead of both.

    Now that we've talked about it more, it does seem more reasonable to have a situation that says, "I don't want to check traffic from Lan1 to Lan2, but continue to check the rest of the traffic originating from Lan1."  As it is now, you only have the choice of excluding all traffic sourced in Lan1, or examining all of it.

    Cheers - Bob
  • 0 in reply to BAlfson
    OK, thanks for the clarification.

    I agree about this needing to be a feature request.

    Also, the input form and/or help need to be improved, as this is completely counter-intuitive for me, and apparently the and/or issue is confusing people as well.

    Barry