Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 17874 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Not Working (UTM 9)

snowhite
Has anyone experienced any issues with IPS on UTM 9? 

It looks like it is configured correctly and listening on my internal LAN, yet IPS never caught a single entry… even simulating i.e ping -s 666 and IDSwakeup etc do not yield any response/acknowledgment/ IPS log entry. 

The only IPS log entries are:

2012:09:05-10:33:05 ****** snort[5448]: Reload thread started, thread 0xa5c57b70 (5448)
2012:09:05-10:33:05 ****** snort[5448]: Checking PID path...
2012:09:05-10:33:05 ****** snort[5448]: PID path stat checked out ok, PID path set to /var/run/
2012:09:05-10:33:05 ****** snort[5448]: Writing PID "5448" to file "/var/run//snort_1.pid"
2012:09:05-10:33:05 ****** snort[5448]: Set gid to 800
2012:09:05-10:33:05 ****** snort[5448]: Set uid to 800
2012:09:05-10:33:05 ****** snort[5448]:
2012:09:05-10:33:05 ****** snort[5448]: --== Initialization Complete ==--
2012:09:05-10:33:05 ****** snort[5448]: Commencing packet processing (pid=5448)
2012:09:05-10:33:05 ****** snort[5448]: Decoding Raw IP4


Am I missing anything?


This thread was automatically locked due to age.
Parents
  • 0
    My IPS doesnt appear to be working either.  Ive tested using nmap online while watching the IPS log and nothing is generated.  If i check the IPS reports, they are blank as well.  

    My IPS settings are the same as snowhite's above.  

    If i open the live log i see this: 

    Live Log: Intrusion Prevention System	

    Filter:			Autoscroll

    2012:11:12-11:24:31 home-fw snort[4275]: | Num Match States : 119349

    2012:11:12-11:24:31 home-fw snort[4275]: | Memory : 25.14Mbytes

    2012:11:12-11:24:31 home-fw snort[4275]: | Patterns : 4.25M

    2012:11:12-11:24:31 home-fw snort[4275]: | Match Lists : 6.61M

    2012:11:12-11:24:31 home-fw snort[4275]: | Transitions : 14.10M

    2012:11:12-11:24:31 home-fw snort[4275]: +-------------------------------------------------

    2012:11:12-11:24:31 home-fw snort[4275]: [ Number of null byte prefixed patterns trimmed: 3190 ]

    2012:11:12-11:24:31 home-fw snort[4275]:

    2012:11:12-11:24:31 home-fw snort[4275]: --== Reload Complete ==--

    2012:11:12-11:24:31 home-fw snort[4275]:
  • 0 in reply to blackjer
    My IPS doesnt appear to be working either.  Ive tested using nmap online while watching the IPS log and nothing is generated.  If i check the IPS reports, they are blank as well.  

    My IPS settings are the same as snowhite's above.  


    Hi,

    AT MOST, Nmap might trigger a port-scan alert or an Unusual Packet alert if you have the right nmap options.

    It would be better to use Nessus or Sussen or some other APPLICATION scanner, AND make sure you have a DNAT allowing some traffic inbound, otherwise the firewall rules are going to drop everything at the SYN packet before there's an actual 'malicious' packet.

    Barry
Reply
  • 0 in reply to blackjer
    My IPS doesnt appear to be working either.  Ive tested using nmap online while watching the IPS log and nothing is generated.  If i check the IPS reports, they are blank as well.  

    My IPS settings are the same as snowhite's above.  


    Hi,

    AT MOST, Nmap might trigger a port-scan alert or an Unusual Packet alert if you have the right nmap options.

    It would be better to use Nessus or Sussen or some other APPLICATION scanner, AND make sure you have a DNAT allowing some traffic inbound, otherwise the firewall rules are going to drop everything at the SYN packet before there's an actual 'malicious' packet.

    Barry
Children
  • 0 in reply to BarryG
    Hi,

    AT MOST, Nmap might trigger a port-scan alert or an Unusual Packet alert if you have the right nmap options.

    It would be better to use Nessus or Sussen or some other APPLICATION scanner, AND make sure you have a DNAT allowing some traffic inbound, otherwise the firewall rules are going to drop everything at the SYN packet before there's an actual 'malicious' packet.

    Barry


    Hi Barry,

    Since i do not have any inbound DNATs i suppose I really dont need to worry about the IPS since the FW will just drop that traffic.

    Am i correct?


    Thanks