Newbie IPS question

On the network security>>Intrusion Protection>>advanced when you create a rule under the Manual rule modification box and you tick the disabled notification, the summary view says that notification is on. (I've attached a picture).I am using v 7.401. Not sure if it's a known bug

any ideas ?

Wingman, I submitted the inability to disable notification as a potential bug last week after I did a little test because of tubyyy's post.  Astaro Support US emailed me today that they had confirmed it.

Depending on your situation, it's likely that there is "good" traffic that gets dumped if you haven't tuned your IPS already.

Cheers - Bob

Wingman, I submitted the inability to disable notification as a potential bug last week after I did a little test because of tubyyy's post.  Astaro Support US emailed me today that they had confirmed it.

Depending on your situation, it's likely that there is "good" traffic that gets dumped if you haven't tuned your IPS already.

Cheers - Bob

thanks for the reply BAlfson

I am still getting only alerts and all fields are on drop action and NOT alert

I will try to investigate further. Do you have similiar issues?

I have the IPS default policy to drop silently and all the attack patterns are set to drop. However, the following attack was not dropped as I would expect.I am doing something wrong?

Can someone confirm that the following is the way to solve the issue:

network security>>Intrusion Protection>>advanced and add the relevant rules id (2103,2102,3264,3335) with drop action

Yep, create a rule and set it to drop and notify and NOT disable. Let the FW/ASG handle pings, icmp, and tracert so you do not break the internet.

Note: Not all ICMP traffic is good. 
c:\discoverHosts (ip range) and away we go. Your unblocked ICMP lets me map your network.

SANS Institute - Intrusion Detection FAQ: I am seeing odd ICMP traffic, what could this mean?

If the packet were normal, the rule would not have activated. That's why we have IPS.


Jim

Yep, create a rule and set it to drop and notify and NOT disable. Let the FW/ASG handle pings, icmp, and tracert so you do not break the internet.

Note: Not all ICMP traffic is good. 
c:\discoverHosts (ip range) and away we go. Your unblocked ICMP lets me map your network.

SANS Institute - Intrusion Detection FAQ: I am seeing odd ICMP traffic, what could this mean?

If the packet were normal, the rule would not have activated. That's why we have IPS.


Jim

HI Jim

I 've created the relevant rule.However, according to astaro blog the way to block a certain attack is by setting the relevantentry to drop. (Exactly what I did on my first post)

Why should I create the rule again on the advanced tab to block the specific attack?

same issue with another rule

2009:04:09-19:19:56 Astaro barnyard[6010]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited" group="420" srcip="195.74.241.211" dstip="192.168.2.40" proto="1" srcport="3" dstport="10" sid="486" class="Misc activity" priority="3"  generator="1" msgid="0"

regardless the fact that the default action is set to drop. I got an alert for this event (however, I can see the those attacts under the IPS: Top blocked attacks)

I've created the rule on the advanced entry

I am not sure what you are asking.

I think that you may have asked several questions. Why don't you number the questions so I can try to zoom in on what you are concerned about.

Tha ASG does not drop all "snort" rules when all of the choices are checked. One must create the rules in advanced and set them to drop. Do NOT check disable notifications as you will always want to see potetial problems. To make an advanced rule one uses the sid="486" portion of the notification (just the number) for the advanced rule.

Do you know why your lan address is listed in the notification?

Do you have NAT disabled?

I am not sure what you are asking.

I think that you may have asked several questions. Why don't you number the questions so I can try to zoom in on what you are concerned about.

Tha ASG does not drop all "snort" rules when all of the choices are checked. One must create the rules in advanced and set them to drop. Do NOT check disable notifications as you will always want to see potetial problems. To make an advanced rule one uses the sid="486" portion of the notification (just the number) for the advanced rule.

Do you know why your lan address is listed in the notification?

Do you have NAT disabled?

Hi Jim

I was under the impression that once you set the attack pattern to drop,it will drop automatically. Didn't know that I had to manually the rule to the advanced tab


The lan ip is the static ip configured for the torrent client I have. There is a DNAT rule allowing incoming and outgoing traffic for the torrent to work. The log says:

IPS: Top blocked attacks

Total attacks blocked: 323

 	Rule ID	Rule Description	Rule group	Packets	% of total

1	485	ICMP Destination Unreachable Communication Administratively Prohibited	Protocol Anomaly / ICMP	266	82.35

2	486	ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited	Protocol Anomaly / ICMP	57	17.65

The "ICMP Destination Unreachable Communication Administratively Prohibited" rule can be a nuisance. I have it disabled.

I'm not sure what you're trying to accomplish... is your torrent client working or not?

Barry