Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 88939 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is IPS dead or have all the internet attacks just stopped?

AdrienBelcourt
Gents and Ladies,

I have zero length IPS log files for the first time in 5 years.  It is configured with every single attack and warning pattern switched on and alerting.  That is over 9,500 patterns and NOT one is picking up anything to be worried about either for outgoing traffic or incoming traffic.  

My questions are

1. Is your IPS quiet as a grave too?   
2. Are all your IPS log files in /var/log/ips/2011/04/ all zero lenth when you gunzip them?
3. How do you tell how many patterns are actually loaded in snort, when the gui says 9500 odd?

I am used to many things with Astaro IPS including patterns shutting down my clients' firewalls, but I am not used to zero length log files and feel rather uncomfortable about this. 

So, I tried to get IPS to respond by running half a dozen different scans (including PCI scans) using Nessus, nmap and LanSpy.  Found out some DNS vulnerabilities, but IDS still stoney quiet.  Restarting snort with /var/mdw/scripts/snort restart shows a pile of stuff including about 50 lines of this: "DynamicPlugin: Rule [3:16418] not enabled in configuration, rule will not be used."  but googlepedia suggests this is not a problem.  

Where are you at with this?  

Thanks in advance for your replies.

Best Regards,

Adrien.


This thread was automatically locked due to age.
  • 0
    hey, i looked from my v7 asg220
    1. shows lines
    2. log files work
    3. dont know
  • 0 in reply to jaznak
    Jaznak, 

    I bet your log files are full of only portscan and flood lines, not any IPS activity.  

    If you have IPS rule activity, what rules triggered?  The only rules that have triggered on our IPS is VoIP related rules whenever we make or receive a call.  Only get these now because I switched on warning messages.  

    The .gz log files are about 300 bytes, but when I unzip them, they become zero length.


    BR
  • 0
    Hi, on 7.509,
    Intrusion Prevention is active with 2439 of 9984 patterns
    Current pattern version: 21771

    Today's log shows entries for SID 17536 and others.

    8.102 with Pattern version:21672 is working fine too.

    What version are you running, and what patterns?

    Make sure snort is actually running:
    ps aux|grep snort

    Barry
  • 0 in reply to BarryG
    Barry,  

    I am on pattern 21771 running 8.102.   "/sbin/snort_inline -D -Q0 -c /etc/snort/snort.conf --nfqueuelen 0 -R _1 -K none -g 800 -u 800" is the running command line.  Protected networks is "any" since I have the CPU.  All rules enabled.  All alerting enabled too including "Add extra warnings"

    I bet your logs contain portscan, DOS/Flooding and not much else.  

    Running a Nessus scan of half a dozen varieties used to make IPS scream blue murder, but now it does nothing.

    I started on this because a customer reported a drop from 500-1000 IPS alerts per day, to zero alerts per day following a pattern update.  Following the killer IPS update last year, they only enable updates at regular intervals, and it looks like we have another killer update.  So they are not enabling updates on the main production machines until we sort this...

    How do I prove it - that IPS is or is not detecting/blocking/alerting???

    My next try was to run Metasploit across the firewall, but that is a bit brutal.   

    Thanks for your response,

    Adrien.
  • 0
    You should never put "ANY" in protected networks... that is a misconfiguration.

    Put each of your LAN / DMZ networks ONLY, and do not include the EXT or Internet networks.

    Barry
  • 0
    It makes no difference.  IPS still detects nothing. 

    What next?
  • 0
    Do you have a support contract? If so, try contacting your reseller or Astaro support.

    Barry
  • 0 in reply to BarryG
    Barry,

    I am the reseller.  Astaro support have been on the case for over 2 days.  Their hands are tied with no access to the customer system and no access to a live system of their own.  I have given them access to mine, but no login has happened yet. 

    I am posting here, because I am concerned we have another IPS killer problem.  

    How are you proving to yourself that your IPS is working?  You said your IPS is showing entries for SID 17536 (an auth header overflow one) amonst others.  What is your baseline?  How many IPS logs would you expect in a day, say last November, and how many are you getting today?  

    The customer went from 500 alerts a day, switched on pattern updates and immediately went to zero alerts a day.  The customer has had Astaro since Version 4.  

    Thanks again for your replies, Barry,

    All the best,
  • 0
    On our 8.102 system, which has only been online for 1 month (since 3/15, after upgrading from v6), the .gz IPS log archive files have been 6-10k every day (except one day at 23k).

    Our 7.509 system's gzipped logs have been 15-35k for the last 2 months. They were much larger before due to a problem with one of our webservers doing an invalid DNS lookup and redirection, which was fixed.

    My home system, also running 7.509, hasn't had an IPS alert since 4/18, but we haven't been surfing much.
    The size of the log files there also seems to be consistent over time.

    Barry
  • 0
    i dont get ips every day, but i have lines like these every now and then:

    sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Mozilla regular expression heap corruption attempt" 
    sub="ips" name="Intrusion protection alert" action="drop" reason="MISC Visio version number anomaly"
    sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Malformed BMP dimensions arbitrary code execution attempt"
    sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Windows Media Player JPG header record mismatch memory corruption attempt"

    @v7.509