Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS daily report didn't show anything

Hsinan
Hi,

So far I have used Astaro for months, and it's working great. The only one thing I can't figure it out is that I NEVER see any IPS warning in daily report.

I check /var/log/ips.log or old archive files, most of them are empty. I can understand its report is empty if that case. However, when I pick a IPS file, which has some attacks record in it, and go back to check daily report, I still see nothing! 

Another thing is the IPS sensor. I have another IDS installed on same network. All traffic will be mirrored to that IDS. Most of time IDS detected something, but Astaro IPS didn't report anything. From iptables logs, Astaro didn't detect those incoming access/attacks, and block them, but, why only block them but no IPS warning?

I think IPS should perform "detect all incoming traffic" and "block if bad traffic or none open service", not "block none open service traffic" and "detect and block the traffic in open service", am I correct?

From Astaro's configuration, it's running snort inline, which should "detect and block bad traffic".

Thanks,

Hsinan


This thread was automatically locked due to age.
Parents
  • 0
    Based on my guess above, if this is true, then IPS will work only if the traffic is target to the open service. From my point of view, IPS should work at first level, and iptables at second. Here is my concern.

    If a hacker already try to attack your Astaro/server for many days, but he/she only tried those back door ports/services before. All are failed and blocked by Astaro iptables. Now, he/she suddenly tried to access those valid open services like ssh(22), smtp(25), dns(53), 80(http), 443(https), do you want to block it at the first level, or only if he/she sent some bad ill packets and block them in second level? 

    I would prefer blocking all bad ill packets at first level, and perform iptabkes/port forwarding at second level.
Reply
  • 0
    Based on my guess above, if this is true, then IPS will work only if the traffic is target to the open service. From my point of view, IPS should work at first level, and iptables at second. Here is my concern.

    If a hacker already try to attack your Astaro/server for many days, but he/she only tried those back door ports/services before. All are failed and blocked by Astaro iptables. Now, he/she suddenly tried to access those valid open services like ssh(22), smtp(25), dns(53), 80(http), 443(https), do you want to block it at the first level, or only if he/she sent some bad ill packets and block them in second level? 

    I would prefer blocking all bad ill packets at first level, and perform iptabkes/port forwarding at second level.
Children
  • 0 in reply to Hsinan
    Hi,
     you should only have your internal networks in the IPS.

    With the ports you suggest the if you have the ASG in stealth mode very little will find it. With the port 22 the recommendation is to change it away from the standard port unless you need it access on a regular basis. Because you are more than likely to know where you will be trying to access the ASG from you can restrict access via packet filter rules so everything else is dropped.

    Ian M