Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS daily report didn't show anything

Hsinan
Hi,

So far I have used Astaro for months, and it's working great. The only one thing I can't figure it out is that I NEVER see any IPS warning in daily report.

I check /var/log/ips.log or old archive files, most of them are empty. I can understand its report is empty if that case. However, when I pick a IPS file, which has some attacks record in it, and go back to check daily report, I still see nothing! 

Another thing is the IPS sensor. I have another IDS installed on same network. All traffic will be mirrored to that IDS. Most of time IDS detected something, but Astaro IPS didn't report anything. From iptables logs, Astaro didn't detect those incoming access/attacks, and block them, but, why only block them but no IPS warning?

I think IPS should perform "detect all incoming traffic" and "block if bad traffic or none open service", not "block none open service traffic" and "detect and block the traffic in open service", am I correct?

From Astaro's configuration, it's running snort inline, which should "detect and block bad traffic".

Thanks,

Hsinan


This thread was automatically locked due to age.
Parents
  • 0
    Hi Ian M,

    Thanks for reply. Yes, I do know how to setup it, but I just want to "make sure" the Astaro IPS behavior.

    Simply say, my question is the order of iptables (packet filter) and snort/IPS. 

    (1). If iptables is at the first level, then all blocked information is in packer filter log, but nothing in snort/IPS log. 
    (2). If snort/IPS is at the first level, then it should have something in the IPS log and those bad packets were blocked before it reached iptables (packet filter).

    From my current Astaro, it seems like the case (1). So, if I didn't open any service to allow Internet access, iptables (packet filter) will always block all incoming access, and I will NEVER see any attack from snort/IPS report. This is my concern of Astaro's behavior if this is true.

    Thanks,

    Hsinan
Reply
  • 0
    Hi Ian M,

    Thanks for reply. Yes, I do know how to setup it, but I just want to "make sure" the Astaro IPS behavior.

    Simply say, my question is the order of iptables (packet filter) and snort/IPS. 

    (1). If iptables is at the first level, then all blocked information is in packer filter log, but nothing in snort/IPS log. 
    (2). If snort/IPS is at the first level, then it should have something in the IPS log and those bad packets were blocked before it reached iptables (packet filter).

    From my current Astaro, it seems like the case (1). So, if I didn't open any service to allow Internet access, iptables (packet filter) will always block all incoming access, and I will NEVER see any attack from snort/IPS report. This is my concern of Astaro's behavior if this is true.

    Thanks,

    Hsinan
Children
No Data