Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3323 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Optimized IPS

Alvin
Hi All,

Just want to double check how the IPS work in Astaro as I want to tune it.

1) Currently I simply turn ON ALL the Rules ( Including the warn) with the mindset that I rather be "safer" with more rules, live with false alarms than to get attacked.

2) As time pass, have to admit the slowness is kind of getting on my nerves and thus now I want to tune it.

3) I am kind of confused with some things.
My network only has Windows XP Machines and a HAVA Device (Like a Slingbox)
3.1) Under the OS I am sure Windows is a YES.
      But I am not sure if I should turn OFF LINUX since Astaro is Linux, by turning on Linux, does it protect Astaro Itself ?
      As for the Others, what kind of machines fall under that catagory, what do I lose / risk if I turn that off.

3.2) For the Servers, I do not have any Servers in my network but I do have Astaro SMTP Proxy running which relays mails to my ISP. BUT Astaro SMTP Ports are open even if you just relay mails to ISP. I did several other configurations to "lock down" this SMTP.

Thus since Astaro SMTP is running, does keeping the E-mail Rules ON Help or no it does not help at all.

As for those under HTTP or any other under Server, the reason I keep it on is I think if a machine on my network is compromised which in turn tries to compromise others, I may be able to see something but that idea does not apply if the IPS only detect incoming attacks to My Servers and not out going.

3.3) For those Attack Against Client Software, I believe I should turn all ON, let me know if you think other wise.

3.4) Protocol Anomaly to the best of my knowledge is when traffic does not complies to the standard but in a client only network, do I need this or I should turn it Off?

3.5) Malware -> Obvious I should keep this ON.

3.6) Instant Messaging -> My MSN and Skype I force it over SOCKS, so I should still keep this ON?

3.7) Multimedia Applications -> I simply keep all ON.

Thus assuming I turn OFF the following, do you think I made any mistakes?
LINUX : Since I do not have any linux machines other than Astaro.
OS Others: Since I only have Windows and I do not know others what does it cover.
Server: Everything under Server since I do not have server and assuming those SMTP, POP, HTTP, FTP Proxy etc is not using this IPS to protect it.
(IE: I assume it means to protect a Real Server other than those on Astaro itself)
Protocol Anomaly: I am not sure but for performance sake, I am thinking of turning it off.

Let me know what you think.

Thank You,


This thread was automatically locked due to age.
Parents
  • 0
    Hi, what is slow?

    How much bandwidth is passing through Astaro?

    I believe you still should have IM enabled even with SOCKS.

    Protocol Anomaly: clients are vulnerable to this too, unless you're using proxies for all traffic.

    The HAVA is probably running Linux, although it may not be worth worrying about.

    You probably don't need mail service protection, except for POP or IMAP for your incoming traffic.

    Barry
  • 0 in reply to BarryG
    Hi BarryG

    - Appreciate your reply, you are really very helpful.

    Yes I use the Astaro Proxy as far as possible.

    For web, HTTP/S Proxy on Astaro.
    For MSN and SKYPE, I force it to use SOCKS ( Let me know if this is the wrong method or there is a better method) as I do not want the LAN -> ANY = Allow.
    For Outgoing mails, I use Astaro SMTP Proxy which forward to my ISP.
    For POP E-mails, I use Astaro POP Proxy.

    The Only Firewall Rules I have is
    1) For the HAVA Device to communicate to ANY on the internet on a specific port since it need to send the video feed out to me.
    2) For the HAVA Device to register and communicate with the HAVA Control Servers. Which the client talk to to know where is the machine.
    3) A IMAP over SSL  rule to my e-mail provider

    - When I turn on ALL (including the Warn) in IPS, it is significantly slow when web surfing and applications such as Live365.com ( Radio Streaming which I know uses HTTP) breaks a lot and often to the point of unable to reconnect as in usually it would try to reconnect...few seconds....else simply give up.

    - I confirmed it is the IPS as simply by turning it off, it is significantly faster.
    Just need to test some heavy websites such as CNN, CNBC, you can see the difference is obvious.

    - I used to bear with it but now I decided time to tune it and also a way to Learn how this IPS behaves.

    - Below is my current configuration.

    ALL ON = WARN is also ON (It is not checked by default for those who is new)

    Operating system specific attacks = ALL ON
    Attacks against Client Software = ALL ON
    Protocol Anomaly = ALL ON
    Malware = ALL ON
    Instant Messaging = ALL ON
    Multimedia Applications = ALL ON

    Attacks against Servers = ALL OFF
    My explanation below as it does not seem the IPS would protect those HTTP, FTP, POP, SMTP, DNS Proxy that is on the Astaro.
    - I do run Security Space No Risk Audit against my Firewall just to be safe.
    - SMTP Proxy even if you configured correctly to ensure it is not a open relay, it would have several ports open. (You need to do a lot more if you want to stealth them but that is a separate discussion)
    - During those security audits whereby they would attempt to exploit since they can see it is a SMTP, I never see those IPS get triggered.
    - Thus it seems the IPS is more for you really have a SMTP Server inside your DMZ etc.
  • 0 in reply to Alvin
    Is it working OK now, or still too slow?

    How much bandwidth are you using?

    You might want to get a faster CPU if you're still having trouble, but there are a few more things you could try:
    In the HTTP proxy, you could set AntiVirus to SINGLE scan.

    Some of the P4 CPUs aren't very efficient with hyper-threading... Do you know the CPU model?
    You can login to the console and type
    cat /proc/cpuinfo
    to get it.

    Locking the IPS to a single CPU thread _might_ help too, but I'd have to search here to remember how to do that.

    Barry
Reply
  • 0 in reply to Alvin
    Is it working OK now, or still too slow?

    How much bandwidth are you using?

    You might want to get a faster CPU if you're still having trouble, but there are a few more things you could try:
    In the HTTP proxy, you could set AntiVirus to SINGLE scan.

    Some of the P4 CPUs aren't very efficient with hyper-threading... Do you know the CPU model?
    You can login to the console and type
    cat /proc/cpuinfo
    to get it.

    Locking the IPS to a single CPU thread _might_ help too, but I'd have to search here to remember how to do that.

    Barry
Children
  • 0 in reply to BarryG
    Hi

    - Balfson,
    - Yes I am sure I put my LAN, DMZ, SSL VPN and IPsec VPN (Site to Site).
    - I used to put ANY with the concept of no harm to see what is happening on the WAN side thinking it is cool to block at the WAN before it even reaches the LAN. Same concept as ALL RULES, why not, the more the better. Rather False Alarm then to miss any. This concept was proven to be far too slow to use and I realized that the IPS Rules now have "direction" on it thus putting the WAN does not help much.  It also proved to be problematic as several web surfing would trigger alerts ( i recall it is those CGI Attacks from ME to Destination Server ), drop the packets and simply problematic to surf as I know I am not attacking people.. It also does not show much action on the WAN side anyway.

    -BarryG
    - Yes with the configuration I stated in my previous reply, overall web surfing is definitely significantly faster which is not something new as I tested before just that I was stubborn to stick with the " more the merrier and safer" until now I am tired of it.
    - The reason for my post was not to prove it is faster but was to discuss with you guys to confirm I do not compromise security for better performance.
    - IE: To me, what I disabled is simply UNNECESSARY and not because I would live with the risk for better performance.
    - Not keen to replace the CPU etc. It is a HP Server that is more than 3 years old, use until it die and buy another one. Now a days not worth spending to change this and that.
    - The CPU Utilization is really low, less than 1% average.
    - I believe my Hardware is better than those ASG 110 and 120 right? I recall those ASG is of lousier CPU and RAM.
    - Anyway I am keen to buy a ASG for home use but years ago, during V5 nobody was keen to sell me etc, after I buy this HP ML110 and was lucky to have all hardware detected by Astaro since then, I kept to this.
    - RAM Utilization is about 22% now, used to be about 28% with ALL IPS ON.
    - RAM is Physically 4GB but Astaro sees 3GB.