Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 17860 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Not Working (UTM 9)

snowhite
Has anyone experienced any issues with IPS on UTM 9? 

It looks like it is configured correctly and listening on my internal LAN, yet IPS never caught a single entry… even simulating i.e ping -s 666 and IDSwakeup etc do not yield any response/acknowledgment/ IPS log entry. 

The only IPS log entries are:

2012:09:05-10:33:05 ****** snort[5448]: Reload thread started, thread 0xa5c57b70 (5448)
2012:09:05-10:33:05 ****** snort[5448]: Checking PID path...
2012:09:05-10:33:05 ****** snort[5448]: PID path stat checked out ok, PID path set to /var/run/
2012:09:05-10:33:05 ****** snort[5448]: Writing PID "5448" to file "/var/run//snort_1.pid"
2012:09:05-10:33:05 ****** snort[5448]: Set gid to 800
2012:09:05-10:33:05 ****** snort[5448]: Set uid to 800
2012:09:05-10:33:05 ****** snort[5448]:
2012:09:05-10:33:05 ****** snort[5448]: --== Initialization Complete ==--
2012:09:05-10:33:05 ****** snort[5448]: Commencing packet processing (pid=5448)
2012:09:05-10:33:05 ****** snort[5448]: Decoding Raw IP4


Am I missing anything?


This thread was automatically locked due to age.
  • 0
    Hi, snowhite, and welcome to the User BB!

    Are you sure you are trying things that you've configured the UTM to block?  For example, what ICMP setting do you have at the bottom of the 'Anti-DoS Flooding' tab?

    Open the Live Log and then run Nmap Online

    Anything?

    Cheers - Bob
  • 0
    Hi Bob,

    SYN, UDP and ICMP flood protection activated, Attack Patterns (all selected) and IPS is enabled on the internal network.

    I've tried a number of things which always seem to get me good feedback on SonicWall's, Watchguards deep packet IPS system etc yet nothing with the Sophos UTM9 IPS; not sure if I am missing a step or if snort is just not working right. 

    I just tried nmap online too but unfortunately nothing in the IPS log [:(]
  • 0
    I suspect that ping isn't going fast enough to trigger ICMP Flood Protection, but you should have gotten a ton of alerts from Nmap.

    Is Anti-Portscan enabled?  Please show pics of the 'Global' and 'Exceptions' tabs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    Please see the following screenshots:









    **No exceptions defined (last attachment). 

    Not sure if helpful but here's my printable IPS configuration overview:
    global IPS configuration (global)
    IPS status (status) = 1
    IPS local network list (local_networks)
    interface network object "Internal (Network)"
    IPS policy (policy) = drop
    IPS rule group object table (ips-group)
    anti-DOS and flood protection (flood_protection)
    TCP SYN flood protection (syn)
    TCP SYN flood protection switch (status) = 1
    TCP SYN flood protection mode (mode) = src-dst
    TCP SYN flood protection logging mode (log) = limited
    TCP SYN source rate limit (src_rate) = 100
    TCP SYN destination rate limit (dst_rate) = 200
    UDP flood protection switch (udp)
    UDP flood protection switch (status) = 1
    UDP flood protection mode (mode) = src-dst
    UDP flood protection logging mode (log) = limited
    UDP source rate limit (src_rate) = 200
    UDP destination rate limit (dst_rate) = 300
    ICMP flood protection configuration (icmp)
    ICMP flood protection switch (status) = 1
    ICMP flood protection mode (mode) = src-dst
    ICMP flood protection logging mode (log) = limited
    ICMP source rate limit (src_rate) = 10
    ICMP destination rate limit (dst_rate) = 20
    anti-portscan configuration (psd)
    portscan detection switch (status) = 1
    portscan action (action) = DROP
    portscan log limiter (log_limiter)
    portscan log limiter switch (status) = 1
    IPS exception object table (ips-exception)
    advanced IPS configuration (advanced)
  • 0
    Hmmm, that all looks right.  You might try burning a CDROM at 4x or less and re-installing.  If that doesn't fix it, you might have a hardware incompatibility.  What NICs do you have for your interfaces?

    Cheers - Bob
  • 0
    Thanks Bob,

    Good point but I hope not :|   Intel/Broadcom NIC's (afaik). 

    I toggled IPS off/on and rebooted the UTM 9 appliance (not sure if that helped) and re-run GRC/nmap and this time I was finally able to pickup:

    ulogd[4241]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="eth1" .....

    Woohoo!!! [H]

    However my other IPS tests (IDSwakeup/metasploint etc) still yield no response. The portscan rule/detection is part of snort right? So the above should mean that snort is running successfully?
  • 0 in reply to snowhite
    I've saved my settings, reverted to the baseline firmware, re-applied my settings and rebooted the appliance and it seems to be working now. Strange.[8-)]

  • 0
    My IPS doesnt appear to be working either.  Ive tested using nmap online while watching the IPS log and nothing is generated.  If i check the IPS reports, they are blank as well.  

    My IPS settings are the same as snowhite's above.  

    If i open the live log i see this: 

    Live Log: Intrusion Prevention System	

    Filter:			Autoscroll

    2012:11:12-11:24:31 home-fw snort[4275]: | Num Match States : 119349

    2012:11:12-11:24:31 home-fw snort[4275]: | Memory : 25.14Mbytes

    2012:11:12-11:24:31 home-fw snort[4275]: | Patterns : 4.25M

    2012:11:12-11:24:31 home-fw snort[4275]: | Match Lists : 6.61M

    2012:11:12-11:24:31 home-fw snort[4275]: | Transitions : 14.10M

    2012:11:12-11:24:31 home-fw snort[4275]: +-------------------------------------------------

    2012:11:12-11:24:31 home-fw snort[4275]: [ Number of null byte prefixed patterns trimmed: 3190 ]

    2012:11:12-11:24:31 home-fw snort[4275]:

    2012:11:12-11:24:31 home-fw snort[4275]: --== Reload Complete ==--

    2012:11:12-11:24:31 home-fw snort[4275]:
  • 0 in reply to blackjer
    Hmmmm, I have my "External" interface instead of the "Internal" in the "Local Networks" box.  That seems to catches stuff for me.  I have always had it this way because my thinking is that it catches things on the way in... is that correct?
  • 0 in reply to PaulHolt
    Hmmmm, I have my "External" interface instead of the "Internal" in the "Local Networks" box.  That seems to catches stuff for me.  I have always had it this way because my thinking is that it catches things on the way in... is that correct?


    Your logic is correct, but webadmin says to specify your local network and a policy to apply to the detected attacks.