Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1184 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS =Impossible Product Supplied ?

emerson8
well, must be....

case 1;
Customer's running ASG320's in a HA with a bunch of Redboxes.
Initial issue (confirmed by astaro support) - Red traffic blocked by IPS.

case 2;
Same customer, now updated to 8.03 and an exclusion for redboxes done.
-No networks with Redboxes work anymore, all traffic blocked AGAIN,
  this time solution is to add their internal network to the IPS exclusion list.

case 3;
Downloading .wmv and or mp4 files of larger sizes results in blocking due to
some multimedia exploit something something which is NOT correct and had to disable that IPS.

case 4;
Been using forums at Novell for years, after update to 7.508, no access was possible. I simply guessed that Novell had issues with their servers but since the people I spoke said, "no"...then I checked the ISP livelog, and sure,, off course, reading news-forums at Novell is VERY dangerous like everything else in the world
so let's block that to.....


For real ? IPS what's happening ?
Is our issue that we're using 100mbit lines and that makes the ASG believe that everything = flooding ??

This is turning out to a useless feature, a needed one, but simply impossible to use "as is" due to the level of support-needs it creates.


This thread was automatically locked due to age.
  • 0
    Without more details or a few lines from your IPS log, it's hard to help.

    If you have flooding blocks that are incorrect, you can change those default settings.

    I agree that Astaro has struggled with Snort and its patterns since upgrading to the newer, more-powerful engine.  They have great feedback systems for the URL and spam filters, but the corrective mechanism for IPS is indeed left wanting.

    Cheers - Bob
  • 0
    I've got a discussion directly with Astaro also on this. 
    Without us doing any changes, 2 different sites with different versions of ASG, 7.502->7.503 and 8.02->8.03 both
    starting to block stuff that before that was working. 

    Workaround was easy  since I nowdays ALLWAYS start by opening the live-log for the IPS.....maybe I should have
    that as a start-page in IE...?
  • 0
    I nowdays ALLWAYS start by opening the live-log for the IPS.....maybe I should have that as a start-page in IE...? 

    LOL [:D]

    Glad you started a ticket on it - at present, that's the only feedback to Astaro about IPS issues.

    Cheers - Bob
  • 0
    Hi emerson. Thanks for posting your feedback! Indeed, with over 9500 patterns available in IPS, the chance of a false positive over other, more limited products increases. Other solutions often use a lot less patterns, directly to limit the chance of exposure that a pattern might be inadvertently affecting legitimate operation. This approach trades off security for accuracy, not due to the quality of patterns, but via the math involved with the number of things you check for; a product with 2000 patterns in the library and a few hundred deployed will be at far less risk of causing unintended blocks.

    It is a fact; IPS even after all these years isn't an exact science. Anytime packet inspection is involved, the chance for some side effects are present. Many admins are so put off by all the rules and categories they end up far under-deployed or fully-deployed on all patterns just to be "safe", and then deal with a lot of notifications, relevant or not. 

    We (quite successfully) solved the problem of how to bring IPS to the masses by using our resource-based protection model for configuration, which still hasn't been effectively copied by our competition (but I'd not be surprised if that happens soon). More admins than ever before are actually fielding IPS, and this is a good thing; before it was so complex that it was imposing to configure. While we do have the ability to bypass rules which are causing you some grief by crossing up with legitimate traffic, it can still be frustrating. You unfortunately seem to have had some bad luck by running into problems in sequence, for that I do apologize.

    We have made various internal improvements at Astaro to better streamline and optimize our IPS; we have dedicated staff to the IPS engine and its patterns who live and breath making our IPS better, faster, and more accurate. They spend their days testing patterns, identifying what needs to be fixed, and address when some application crosses up with something that an IPS pattern would trigger on. We also relentlessly demand more performance, increased multi-core usage, and other optimizations that make IPS one of our most-updated areas in ASG; not because it is behind at all to the rest of the product, but because we are always staying ahead of the game and making sure that the IPS system can protect you against the things you trust it will.

    I see you mentioned talking to us directly, I'm glad you have contacted us for a resolution and are letting us try and make your life easier, which after all is something we do in all areas of our product, and it must be perfect! If your experiences with us do not satisfy your problems, please do let me know. I will also let you know we are working on a way that our users can assist with tuning the IPS by sharing with us their false positives as they happen. I look forward to being able to impress you.