Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3393 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS on Public WiFi Segment

skydiver
I have a question for all out there. Do any of you see any value in running IPS on a network segment that is used for Public WiFi Access?

We provide public access wifi via a vendor is provided and supported Colubrias Router.  This router is connected to my switch running on a separate VLAN on the switch (not the ASG) and on this VLAN the ASG is connected via eth2.  The vendor wifi gives out addresses in the 10.0.0.x space and I give the external wan port on the vendor's router an addresses in the 172.16.x.x space via eth2 on the ASG.  I have rules in place on the ASG packet filters allowing the 172.16.x.x network internet access followed by a drop rule of ANY/ANY.

I currently am running IPS on this segment but with all the port scanning activity I am getting outbound.  Most of these are presumably infected computers on our WiFi but we have a few locations near universities where I know these are active actions by the users trying to hack from our network.

I have limit logging enabled but each event produces 50/60 log entries and each of these are sent to my email inbox that I use to monitor network activity. I don't want to terminate all notices of port scanning because I would like to see anyone pounding on door of my internal network segments and I definitely want the ASG to drop excessive scanning to prevent us from getting complaints and to keep the abusers off our public WiFi to hack.

Opinions?


This thread was automatically locked due to age.
Parents
  • 0
    I am mainly concerned with people using our Hot Spot as a jumping off point for illicit activity (files-sharing, DoS attacks, etc.).  We received a couple of MPAA and RIAA complaints at one of our locations in the past due to file sharing activity and I would like to be able to still do some monitoring of what is going on.

    As an aside, i removed the WiFi network interface from the IPS protected networks but I am still getting port scan notifications.  Is this because the port scanning engine and rules are separate from the IPS engine?  If so then the filter rule exclusion mentioned by Jetkins makes sense.
Reply
  • 0
    I am mainly concerned with people using our Hot Spot as a jumping off point for illicit activity (files-sharing, DoS attacks, etc.).  We received a couple of MPAA and RIAA complaints at one of our locations in the past due to file sharing activity and I would like to be able to still do some monitoring of what is going on.

    As an aside, i removed the WiFi network interface from the IPS protected networks but I am still getting port scan notifications.  Is this because the port scanning engine and rules are separate from the IPS engine?  If so then the filter rule exclusion mentioned by Jetkins makes sense.
Children
  • 0 in reply to skydiver
    After everyone's suggestions, I decided that monitoring port traffic and port scanning on my public WiFi segment is not my problem.  As long as they don't try to probe my network, I don't care.

    I have removed the WiFi segment from IPS monitoring and created and created an IPS Exception that ignores Porstscans originating from the WiFi hotspot segment.  I did not remove any Anti-DOS or Intrusion protection Monitoring in this exception.

    Thanks for the feedback.  I hope everyone else can benefit from my process.