Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS daily report didn't show anything

Hsinan
Hi,

So far I have used Astaro for months, and it's working great. The only one thing I can't figure it out is that I NEVER see any IPS warning in daily report.

I check /var/log/ips.log or old archive files, most of them are empty. I can understand its report is empty if that case. However, when I pick a IPS file, which has some attacks record in it, and go back to check daily report, I still see nothing! 

Another thing is the IPS sensor. I have another IDS installed on same network. All traffic will be mirrored to that IDS. Most of time IDS detected something, but Astaro IPS didn't report anything. From iptables logs, Astaro didn't detect those incoming access/attacks, and block them, but, why only block them but no IPS warning?

I think IPS should perform "detect all incoming traffic" and "block if bad traffic or none open service", not "block none open service traffic" and "detect and block the traffic in open service", am I correct?

From Astaro's configuration, it's running snort inline, which should "detect and block bad traffic".

Thanks,

Hsinan


This thread was automatically locked due to age.
Parents
  • 0
    Well, I know "normal" port scan can be detected, however, Astaro can not detect "slow" port scan. I have seen some port scans in log, but, they did it slowly, which mean they scan each port per minute, 7212, 8000, 8080, 8085 and so on. It's hard to detect, with Astaro or configure iptables with rate limit. The only way to find such port scan is something like "psad" to parser iptables log file, trace all failed access, and perform actions (block or alert). 

    How do you think? :-)

    Nice to meet a tech guy here!
Reply
  • 0
    Well, I know "normal" port scan can be detected, however, Astaro can not detect "slow" port scan. I have seen some port scans in log, but, they did it slowly, which mean they scan each port per minute, 7212, 8000, 8080, 8085 and so on. It's hard to detect, with Astaro or configure iptables with rate limit. The only way to find such port scan is something like "psad" to parser iptables log file, trace all failed access, and perform actions (block or alert). 

    How do you think? :-)

    Nice to meet a tech guy here!
Children
No Data