Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 17862 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Not Working (UTM 9)

snowhite
Has anyone experienced any issues with IPS on UTM 9? 

It looks like it is configured correctly and listening on my internal LAN, yet IPS never caught a single entry… even simulating i.e ping -s 666 and IDSwakeup etc do not yield any response/acknowledgment/ IPS log entry. 

The only IPS log entries are:

2012:09:05-10:33:05 ****** snort[5448]: Reload thread started, thread 0xa5c57b70 (5448)
2012:09:05-10:33:05 ****** snort[5448]: Checking PID path...
2012:09:05-10:33:05 ****** snort[5448]: PID path stat checked out ok, PID path set to /var/run/
2012:09:05-10:33:05 ****** snort[5448]: Writing PID "5448" to file "/var/run//snort_1.pid"
2012:09:05-10:33:05 ****** snort[5448]: Set gid to 800
2012:09:05-10:33:05 ****** snort[5448]: Set uid to 800
2012:09:05-10:33:05 ****** snort[5448]:
2012:09:05-10:33:05 ****** snort[5448]: --== Initialization Complete ==--
2012:09:05-10:33:05 ****** snort[5448]: Commencing packet processing (pid=5448)
2012:09:05-10:33:05 ****** snort[5448]: Decoding Raw IP4


Am I missing anything?


This thread was automatically locked due to age.
Parents
  • 0
    I suspect that ping isn't going fast enough to trigger ICMP Flood Protection, but you should have gotten a ton of alerts from Nmap.

    Is Anti-Portscan enabled?  Please show pics of the 'Global' and 'Exceptions' tabs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    Please see the following screenshots:









    **No exceptions defined (last attachment). 

    Not sure if helpful but here's my printable IPS configuration overview:
    global IPS configuration (global)
    IPS status (status) = 1
    IPS local network list (local_networks)
    interface network object "Internal (Network)"
    IPS policy (policy) = drop
    IPS rule group object table (ips-group)
    anti-DOS and flood protection (flood_protection)
    TCP SYN flood protection (syn)
    TCP SYN flood protection switch (status) = 1
    TCP SYN flood protection mode (mode) = src-dst
    TCP SYN flood protection logging mode (log) = limited
    TCP SYN source rate limit (src_rate) = 100
    TCP SYN destination rate limit (dst_rate) = 200
    UDP flood protection switch (udp)
    UDP flood protection switch (status) = 1
    UDP flood protection mode (mode) = src-dst
    UDP flood protection logging mode (log) = limited
    UDP source rate limit (src_rate) = 200
    UDP destination rate limit (dst_rate) = 300
    ICMP flood protection configuration (icmp)
    ICMP flood protection switch (status) = 1
    ICMP flood protection mode (mode) = src-dst
    ICMP flood protection logging mode (log) = limited
    ICMP source rate limit (src_rate) = 10
    ICMP destination rate limit (dst_rate) = 20
    anti-portscan configuration (psd)
    portscan detection switch (status) = 1
    portscan action (action) = DROP
    portscan log limiter (log_limiter)
    portscan log limiter switch (status) = 1
    IPS exception object table (ips-exception)
    advanced IPS configuration (advanced)
Reply
  • 0 in reply to BAlfson
    Bob,

    Please see the following screenshots:









    **No exceptions defined (last attachment). 

    Not sure if helpful but here's my printable IPS configuration overview:
    global IPS configuration (global)
    IPS status (status) = 1
    IPS local network list (local_networks)
    interface network object "Internal (Network)"
    IPS policy (policy) = drop
    IPS rule group object table (ips-group)
    anti-DOS and flood protection (flood_protection)
    TCP SYN flood protection (syn)
    TCP SYN flood protection switch (status) = 1
    TCP SYN flood protection mode (mode) = src-dst
    TCP SYN flood protection logging mode (log) = limited
    TCP SYN source rate limit (src_rate) = 100
    TCP SYN destination rate limit (dst_rate) = 200
    UDP flood protection switch (udp)
    UDP flood protection switch (status) = 1
    UDP flood protection mode (mode) = src-dst
    UDP flood protection logging mode (log) = limited
    UDP source rate limit (src_rate) = 200
    UDP destination rate limit (dst_rate) = 300
    ICMP flood protection configuration (icmp)
    ICMP flood protection switch (status) = 1
    ICMP flood protection mode (mode) = src-dst
    ICMP flood protection logging mode (log) = limited
    ICMP source rate limit (src_rate) = 10
    ICMP destination rate limit (dst_rate) = 20
    anti-portscan configuration (psd)
    portscan detection switch (status) = 1
    portscan action (action) = DROP
    portscan log limiter (log_limiter)
    portscan log limiter switch (status) = 1
    IPS exception object table (ips-exception)
    advanced IPS configuration (advanced)
Children
No Data