Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1104 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS just monitoring and bloc only some signatures.

keamas
Hi,
I would like to configure my IPS on the Sophos UTM 9.2 like this.
I would like to monitor the traffic with the IPS but no blocking.
But for some signatures for example hear bleed CVE-2014-0160, I would like to block traffic which matches with the signature of CVE-2014-0160.

Is it possible to configure the UTM like this? I couldn't manage this so far.
Or is there a good resource to learn more about this?


This thread was automatically locked due to age.
  • 0
    set all rules "Action" to "Alert" and check "notify".
    all attacks will be logged now, but not blocked,

    all you have to do is find the "sid" from the rules matching what you want to block.
    if you have it go to the tab "Advanced" in the IPS-settings, and add it under "Modified rules".

    you can change the setting to "drop" per sid here.

    I found some posts on the snort-website pointing to rules.. i am not sure if they are the same for Astaro/Sophos UTM too..
    link1
    link 2
  • 0
    ok but thats a painful work. It would be much better if you have a database with CVE numbers and you just add the CVE number to block.

    And you need a attack which already occured before you can block it right?

    Many other vendors do it like this.
    You just update the IPS Database and you can choose the CVE number like CVE-2014-0160 and add this to a rule or create a rule for this.
  • 0
    Hi keamas,

    The UTM's IPS is based off SNORT so you can access their database here: Snort :: Search. Just search for the rules you need (supports searching by CVE) and insert their SID's into the UTM as FrankBarmenlto suggested.
  • 0
    Hi, the UTM does not support adding new rules manually.

    Barry