Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS daily report didn't show anything

Hsinan
Hi,

So far I have used Astaro for months, and it's working great. The only one thing I can't figure it out is that I NEVER see any IPS warning in daily report.

I check /var/log/ips.log or old archive files, most of them are empty. I can understand its report is empty if that case. However, when I pick a IPS file, which has some attacks record in it, and go back to check daily report, I still see nothing! 

Another thing is the IPS sensor. I have another IDS installed on same network. All traffic will be mirrored to that IDS. Most of time IDS detected something, but Astaro IPS didn't report anything. From iptables logs, Astaro didn't detect those incoming access/attacks, and block them, but, why only block them but no IPS warning?

I think IPS should perform "detect all incoming traffic" and "block if bad traffic or none open service", not "block none open service traffic" and "detect and block the traffic in open service", am I correct?

From Astaro's configuration, it's running snort inline, which should "detect and block bad traffic".

Thanks,

Hsinan


This thread was automatically locked due to age.
Parents
  • 0
    Hi, really appreciate your information. I have concern on this.

    What if a hacker tried to scan some ports used by back door first, and switch to some normal ports like SMTP (25)? 

    It's hard to guarantee that snort inline can 100% block all bad packets. In my case, there are a lot of access for port 8000, 8080, 8085, and 7212. Next step they tried to access other services like SSH and SMTP. 

    I would prefer Astaro has one feature like psad, which can parse iptables log file, and block those IP addresses with too many failed access. 

    Thanks,

    Hsinan
Reply
  • 0
    Hi, really appreciate your information. I have concern on this.

    What if a hacker tried to scan some ports used by back door first, and switch to some normal ports like SMTP (25)? 

    It's hard to guarantee that snort inline can 100% block all bad packets. In my case, there are a lot of access for port 8000, 8080, 8085, and 7212. Next step they tried to access other services like SSH and SMTP. 

    I would prefer Astaro has one feature like psad, which can parse iptables log file, and block those IP addresses with too many failed access. 

    Thanks,

    Hsinan
Children
No Data