Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1421 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Restrict IPS

dclab
Greetings,
Is there any way to turn off IPS for a specific service or machine?

Situation:
Client has ASG220 running IPS. They have a FTP/SFTP (SSH) server running on the LAN that is NAT'd with an additional IP address on the WAN interface.  This server cannot be moved from the LAN, due to time-sensitive proprietary software which relies on file transfers being stored on a network share on the LAN (in other words, moving the server to a DMZ then synching the data to the LAN won't work).

This server is responsible for more than 50% of the traffic going through the Astaro.  When IPS is running, remote FTP users complain of slow or dropped transfers.  With IPS turned off the performance improves significantly.   

I'm basically looking for a way to exclude IPS scanning from the FTP/SSH traffic running to this computer only.  Is this possible?  If not, does anyone have some suggestions for a work-around?
Thanks


This thread was automatically locked due to age.
Parents
  • 0
    The best way to accomplish what you want would seem to be to add an Ethernet adapter to the server so that you can have both an address in a DMZ and an address in your internal network.  Then, create an exception for Intrustion Prevention with a source of the server in the DMZ.

    At present, it would seem that you could  create an exception for Intrustion Prevention with a source of the server.  Does that resolve your issue?
  • 0 in reply to BAlfson
    Good idea, that was what I was looking for! 

    Of course I now have two questions: 

    1. You presented two options - adding the second nic connected to a DMZ then creating an exception to the server vs. just creating the exception to the server.   What does adding the second nic/DMZ accomplish vs. just doing the exception?

    2. Under Attach Patterns | Attacks against servers | Misc. Servers I see FTP and SSH are selected.  Would unchecking these options provide any advantage over creating the exception? 

    Thanks for the help!
Reply
  • 0 in reply to BAlfson
    Good idea, that was what I was looking for! 

    Of course I now have two questions: 

    1. You presented two options - adding the second nic connected to a DMZ then creating an exception to the server vs. just creating the exception to the server.   What does adding the second nic/DMZ accomplish vs. just doing the exception?

    2. Under Attach Patterns | Attacks against servers | Misc. Servers I see FTP and SSH are selected.  Would unchecking these options provide any advantage over creating the exception? 

    Thanks for the help!
Children
  • 0 in reply to dclab
    Hi,
    Unchecking them would disable them for all internal and external networks.
    If you don't want that, then create an exception.

    Barry
  • 0 in reply to BarryG
    What does adding the second nic/DMZ accomplish vs. just doing the exception?

    You can't run gigabit traffic through an ASG220.  However, it seems like an unnecessary security risk to have a publicly-available FTP server inside your trusted network.  A compromise is to have a DMZ IP and an internal LAN IP for the server; attempts to reach your LAN from the DMZ IP would be blocked.  Of course, a very-motivated intruder could take the time to discover the other route into your LAN, but it's more likely that the bad-guy would be lazy and just move on to the next opportunity.

    Anyway, just a thought.

    Cheers - Bob