Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 17861 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Not Working (UTM 9)

snowhite
Has anyone experienced any issues with IPS on UTM 9? 

It looks like it is configured correctly and listening on my internal LAN, yet IPS never caught a single entry… even simulating i.e ping -s 666 and IDSwakeup etc do not yield any response/acknowledgment/ IPS log entry. 

The only IPS log entries are:

2012:09:05-10:33:05 ****** snort[5448]: Reload thread started, thread 0xa5c57b70 (5448)
2012:09:05-10:33:05 ****** snort[5448]: Checking PID path...
2012:09:05-10:33:05 ****** snort[5448]: PID path stat checked out ok, PID path set to /var/run/
2012:09:05-10:33:05 ****** snort[5448]: Writing PID "5448" to file "/var/run//snort_1.pid"
2012:09:05-10:33:05 ****** snort[5448]: Set gid to 800
2012:09:05-10:33:05 ****** snort[5448]: Set uid to 800
2012:09:05-10:33:05 ****** snort[5448]:
2012:09:05-10:33:05 ****** snort[5448]: --== Initialization Complete ==--
2012:09:05-10:33:05 ****** snort[5448]: Commencing packet processing (pid=5448)
2012:09:05-10:33:05 ****** snort[5448]: Decoding Raw IP4


Am I missing anything?


This thread was automatically locked due to age.
  • 0
    Yes, never, ever put your External interface in there - that can bring the device to its knees.   I know because I was once a newbie with Astaro and I fought a unit for weeks because of this mistake.

    Cheers - Bob
  • 0 in reply to blackjer
    My IPS doesnt appear to be working either.  Ive tested using nmap online while watching the IPS log and nothing is generated.  If i check the IPS reports, they are blank as well.  

    My IPS settings are the same as snowhite's above.  


    Hi,

    AT MOST, Nmap might trigger a port-scan alert or an Unusual Packet alert if you have the right nmap options.

    It would be better to use Nessus or Sussen or some other APPLICATION scanner, AND make sure you have a DNAT allowing some traffic inbound, otherwise the firewall rules are going to drop everything at the SYN packet before there's an actual 'malicious' packet.

    Barry
  • 0
    I previously posted another way to test the IPS, if you have a DNAT'd webserver:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40688

    Barry
  • 0 in reply to BarryG
    Hi,

    AT MOST, Nmap might trigger a port-scan alert or an Unusual Packet alert if you have the right nmap options.

    It would be better to use Nessus or Sussen or some other APPLICATION scanner, AND make sure you have a DNAT allowing some traffic inbound, otherwise the firewall rules are going to drop everything at the SYN packet before there's an actual 'malicious' packet.

    Barry


    Hi Barry,

    Since i do not have any inbound DNATs i suppose I really dont need to worry about the IPS since the FW will just drop that traffic.

    Am i correct?


    Thanks
  • 0
    That's basically correct.

    You still want the IPS protecting your internal web-surfing users from malicious web content, emails, etc.
    Even if you use the http and smtp anti-virus, it's good to have another layer of protection.

    Barry
  • 0 in reply to BarryG
    That's basically correct.

    You still want the IPS protecting your internal web-surfing users from malicious web content, emails, etc.
    Even if you use the http and smtp anti-virus, it's good to have another layer of protection.

    Barry


    Thanks for the reply.  Im going to keep the IPS active for the reasons you stated.