Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2359 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS daily report didn't show anything

Hsinan
Hi,

So far I have used Astaro for months, and it's working great. The only one thing I can't figure it out is that I NEVER see any IPS warning in daily report.

I check /var/log/ips.log or old archive files, most of them are empty. I can understand its report is empty if that case. However, when I pick a IPS file, which has some attacks record in it, and go back to check daily report, I still see nothing! 

Another thing is the IPS sensor. I have another IDS installed on same network. All traffic will be mirrored to that IDS. Most of time IDS detected something, but Astaro IPS didn't report anything. From iptables logs, Astaro didn't detect those incoming access/attacks, and block them, but, why only block them but no IPS warning?

I think IPS should perform "detect all incoming traffic" and "block if bad traffic or none open service", not "block none open service traffic" and "detect and block the traffic in open service", am I correct?

From Astaro's configuration, it's running snort inline, which should "detect and block bad traffic".

Thanks,

Hsinan


This thread was automatically locked due to age.
  • 0
    Hi,
    which interfaces do you have being guarded by IPS?

    Ian M
  • 0
    Hi,

    I believe WAN is in use at least.

    The only possible guess is that Astaro iptables will block all incoming traffic if the destination port is not open for service in first level, and snort/IPS will block and send alerts if the incoming traffic is going to open service port, but it's bad in second level like SQL worm recently.

    Thanks,

    Hsinan
  • 0
    Based on my guess above, if this is true, then IPS will work only if the traffic is target to the open service. From my point of view, IPS should work at first level, and iptables at second. Here is my concern.

    If a hacker already try to attack your Astaro/server for many days, but he/she only tried those back door ports/services before. All are failed and blocked by Astaro iptables. Now, he/she suddenly tried to access those valid open services like ssh(22), smtp(25), dns(53), 80(http), 443(https), do you want to block it at the first level, or only if he/she sent some bad ill packets and block them in second level? 

    I would prefer blocking all bad ill packets at first level, and perform iptabkes/port forwarding at second level.
  • 0 in reply to Hsinan
    Hi,
     you should only have your internal networks in the IPS.

    With the ports you suggest the if you have the ASG in stealth mode very little will find it. With the port 22 the recommendation is to change it away from the standard port unless you need it access on a regular basis. Because you are more than likely to know where you will be trying to access the ASG from you can restrict access via packet filter rules so everything else is dropped.

    Ian M
  • 0
    Hi Ian M,

    Thanks for reply. Yes, I do know how to setup it, but I just want to "make sure" the Astaro IPS behavior.

    Simply say, my question is the order of iptables (packet filter) and snort/IPS. 

    (1). If iptables is at the first level, then all blocked information is in packer filter log, but nothing in snort/IPS log. 
    (2). If snort/IPS is at the first level, then it should have something in the IPS log and those bad packets were blocked before it reached iptables (packet filter).

    From my current Astaro, it seems like the case (1). So, if I didn't open any service to allow Internet access, iptables (packet filter) will always block all incoming access, and I will NEVER see any attack from snort/IPS report. This is my concern of Astaro's behavior if this is true.

    Thanks,

    Hsinan
  • 0
    That´s correct, iptables is the very very basic and first line of defense in the ASG.
    All other security modules, including IPS, are only affected it this first line of defense , aka the packetfilter rules, have been sucessfully traversed, i.e. you only will have an IPS attack logged by snort if there was an ALLOW packetfilter rule that allowed the packet.
  • 0
    Hi, really appreciate your information. I have concern on this.

    What if a hacker tried to scan some ports used by back door first, and switch to some normal ports like SMTP (25)? 

    It's hard to guarantee that snort inline can 100% block all bad packets. In my case, there are a lot of access for port 8000, 8080, 8085, and 7212. Next step they tried to access other services like SSH and SMTP. 

    I would prefer Astaro has one feature like psad, which can parse iptables log file, and block those IP addresses with too many failed access. 

    Thanks,

    Hsinan
  • 0
    Ok, there was one information missing in my previous post:
    although they are configured under the IPS menu, the anti-portscan and anti-DoS/Flooding security features of the ASG are NOT implemented by the IPS system (i.e. snort) , but by the packetfilter (i.e. iptables).
    Thus, the portscan you mention IS actually detected, but not by IPS but by the firewall.

    Hope that clearifies it.

    BTW I won´t agree that the mechanism you descibe will help you very much to be protected against this type of "postscanner hackers". But thats a philosophic discussion not fitting into this tread ;-)
  • 0
    Well, I know "normal" port scan can be detected, however, Astaro can not detect "slow" port scan. I have seen some port scans in log, but, they did it slowly, which mean they scan each port per minute, 7212, 8000, 8080, 8085 and so on. It's hard to detect, with Astaro or configure iptables with rate limit. The only way to find such port scan is something like "psad" to parser iptables log file, trace all failed access, and perform actions (block or alert). 

    How do you think? :-)

    Nice to meet a tech guy here!
  • 0 in reply to Hsinan
    Hi,

    I believe WAN is in use at least.


    As far as I know, WAN interface should not be listed in interface protected by IPS