Newbie IPS question

I have the IPS default policy to drop silently and all the attack patterns are set to drop. However, the following attack was not dropped as I would expect.I am doing something wrong?

Can someone confirm that the following is the way to solve the issue:

network security>>Intrusion Protection>>advanced and add the relevant rules id (2103,2102,3264,3335) with drop action

Yep, create a rule and set it to drop and notify and NOT disable. Let the FW/ASG handle pings, icmp, and tracert so you do not break the internet.

Note: Not all ICMP traffic is good. 
c:\discoverHosts (ip range) and away we go. Your unblocked ICMP lets me map your network.

SANS Institute - Intrusion Detection FAQ: I am seeing odd ICMP traffic, what could this mean?

If the packet were normal, the rule would not have activated. That's why we have IPS.


Jim

Yep, create a rule and set it to drop and notify and NOT disable. Let the FW/ASG handle pings, icmp, and tracert so you do not break the internet.

Note: Not all ICMP traffic is good. 
c:\discoverHosts (ip range) and away we go. Your unblocked ICMP lets me map your network.

SANS Institute - Intrusion Detection FAQ: I am seeing odd ICMP traffic, what could this mean?

If the packet were normal, the rule would not have activated. That's why we have IPS.


Jim

HI Jim

I 've created the relevant rule.However, according to astaro blog the way to block a certain attack is by setting the relevantentry to drop. (Exactly what I did on my first post)

Why should I create the rule again on the advanced tab to block the specific attack?

Yep, create a rule and set it to drop and notify and NOT disable. Let the FW/ASG handle pings, icmp, and tracert so you do not break the internet.

Note: Not all ICMP traffic is good. 
c:\discoverHosts (ip range) and away we go. Your unblocked ICMP lets me map your network.

SANS Institute - Intrusion Detection FAQ: I am seeing odd ICMP traffic, what could this mean?

If the packet were normal, the rule would not have activated. That's why we have IPS.


Jim

HI Jim

I 've created the relevant rule.However, according to astaro blog the way to block a certain attack is by setting the relevantentry to drop. (Exactly what I did on my first post)

Why should I create the rule again on the advanced tab to block the specific attack?

same issue with another rule

2009:04:09-19:19:56 Astaro barnyard[6010]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited" group="420" srcip="195.74.241.211" dstip="192.168.2.40" proto="1" srcport="3" dstport="10" sid="486" class="Misc activity" priority="3"  generator="1" msgid="0"

regardless the fact that the default action is set to drop. I got an alert for this event (however, I can see the those attacts under the IPS: Top blocked attacks)

I've created the rule on the advanced entry

I am not sure what you are asking.

I think that you may have asked several questions. Why don't you number the questions so I can try to zoom in on what you are concerned about.

Tha ASG does not drop all "snort" rules when all of the choices are checked. One must create the rules in advanced and set them to drop. Do NOT check disable notifications as you will always want to see potetial problems. To make an advanced rule one uses the sid="486" portion of the notification (just the number) for the advanced rule.

Do you know why your lan address is listed in the notification?

Do you have NAT disabled?

I am not sure what you are asking.

I think that you may have asked several questions. Why don't you number the questions so I can try to zoom in on what you are concerned about.

Tha ASG does not drop all "snort" rules when all of the choices are checked. One must create the rules in advanced and set them to drop. Do NOT check disable notifications as you will always want to see potetial problems. To make an advanced rule one uses the sid="486" portion of the notification (just the number) for the advanced rule.

Do you know why your lan address is listed in the notification?

Do you have NAT disabled?

Hi Jim

I was under the impression that once you set the attack pattern to drop,it will drop automatically. Didn't know that I had to manually the rule to the advanced tab


The lan ip is the static ip configured for the torrent client I have. There is a DNAT rule allowing incoming and outgoing traffic for the torrent to work. The log says:

IPS: Top blocked attacks

Total attacks blocked: 323

 	Rule ID	Rule Description	Rule group	Packets	% of total

1	485	ICMP Destination Unreachable Communication Administratively Prohibited	Protocol Anomaly / ICMP	266	82.35

2	486	ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited	Protocol Anomaly / ICMP	57	17.65

The "ICMP Destination Unreachable Communication Administratively Prohibited" rule can be a nuisance. I have it disabled.

I'm not sure what you're trying to accomplish... is your torrent client working or not?

Barry

The "ICMP Destination Unreachable Communication Administratively Prohibited" rule can be a nuisance. I have it disabled.

I'm not sure what you're trying to accomplish... is your torrent client working or not?

Barry

I have my desktop pc (192.168.2.40) which has a torrent (utorrent) client. I have the dnat rule and packet filters and everything works fine. I am just getting those blocked attacks for this specific host.

OK. Aside from disabling that rule (which it sounds like you're trying to do), I would also look at the IPS log and try to figure out if it's coming from people trying to hit your network, or from you trying to hit other networks.

Barry

OK. Aside from disabling that rule (which it sounds like you're trying to do), I would also look at the IPS log and try to figure out if it's coming from people trying to hit your network, or from you trying to hit other networks.

Barry

Hello Barry

Below is part of the IPS log

2009:04:15-00:00:03 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="77.49.209.175" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="41493" tcpflags="SYN" 
2009:04:15-00:00:03 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="77.49.35.102" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="49899" tcpflags="SYN" 
2009:04:15-00:00:03 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="94.68.157.231" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="39817" tcpflags="SYN" 
2009:04:15-00:00:03 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="92.118.18.87" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="29577" tcpflags="SYN" 
2009:04:15-00:00:04 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="94.70.38.156" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="47917" tcpflags="SYN"
2009:04:15-00:00:04 Astaro ulogd[3235]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth1" outitf="eth1" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="192.168.2.40" dstip="94.70.38.156" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="20000" dstport="47917" tcpflags="SYN" 
2009:04:15-00:02:59 Astaro barnyard[16353]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited" group="420" srcip="74.77.49.156" dstip="192.168.2.40" proto="1" srcport="3" dstport="10" sid="486" class="Misc activity" priority="3"  generator="1" msgid="0"
2009:04:15-00:04:56 Astaro barnyard[16353]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ICMP Destination Unreachable Communication Administratively Prohibited" group="420" srcip="79.166.5.141" dstip="192.168.2.40" proto="1" srcport="3" dstport="13" sid="485" class="Misc activity" priority="3"  generator="1" msgid="0"
2009:04:15-00:04:58 Astaro barnyard[16353]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="ICMP Destination Unreachable Communication Administratively Prohibited" group="420" srcip="79.166.5.141" dstip="192.168.2.40" proto="1" srcport="3" dstport="13" sid="485" class="Misc activity" priority="3"  generator="1" msgid="0"

ICMP alerts have 192.168.2.40 as a destination (torrent client).However, there are several port scan with source ip 192.168.2.40. Not sure whether utorrent uses port scan in any way

Assuming 79.166.5.141 is a remote host, then I'd recommend disabling the "ICMP Destination Unreachable Communication Administratively Prohibited" rule... it's designed to alert when you have a server which may be being scanned, or if you had a scanner internally... in your case it's actually a remote host which is creating the ICMP packet, and your firewall is alerting.
The ICMP packets are harmless, and I'd recommend turning off the alerts.

As far as the portscan detections, you can either:
1. create an exception in Astaro
2. ignore them
3. try to tune your p2p client to make less connections, or less frequently.

Barry

Assuming 79.166.5.141 is a remote host, then I'd recommend disabling the "ICMP Destination Unreachable Communication Administratively Prohibited" rule... it's designed to alert when you have a server which may be being scanned, or if you had a scanner internally... in your case it's actually a remote host which is creating the ICMP packet, and your firewall is alerting.
The ICMP packets are harmless, and I'd recommend turning off the alerts.

As far as the portscan detections, you can either:
1. create an exception in Astaro
2. ignore them
3. try to tune your p2p client to make less connections, or less frequently.

Barry

HI Barry

Thank you for the answer, I will disable the alert and I will tune my utorrent client to make less connections.