Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 13778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS & Local Network definitions

Mokaz
Hi all,

Under Network Protection --> IPS what are your usual "Local networks" you set there? Do you set your WAN link in there as well??

Here is what i'm reading in the manual which is not reall clear;

Local networks: Add or select the networks that should be protected by the intrusion prevention system. If no local network is selected, intrusion prevention will automatically be deactivated and no traffic is monitored. How to add a definition is explained on the Definitions & Users > Network Definitions > Network Definitions page.

In fact i'm not sure what to include here, either ALL my local networks (which for me includes my WAN link) or only my purely local and "safe" networks..

Thanks,
regards,
m


This thread was automatically locked due to age.
  • 0
    Hi, 

    Do NOT put any WAN addresses in Local Networks... the WAN connection is considered External.

    Include your LANs and DMZs.
    You can also include your Remote Access VPN pools if you want.

    Barry
  • 0 in reply to BarryG
    Hi, 

    Do NOT put any WAN addresses in Local Networks... the WAN connection is considered External.

    Include your LANs and DMZs.
    You can also include your Remote Access VPN pools if you want.

    Barry


    Hi Barry, thanks for your answer.

    What does it means in the end, that "only" local networks are IPS enabled? because i hardly suspect any intrusion in these (home environment) though the WAN link is potentially another story indeed.. 

    I do not get the logic here i think..

    Thanks,
    cordially,
    m.
  • 0
    To put it another way, you DON'T want to have IPS listening to the "naked" internet on your external interface.  Doing so will occasionally cause a lock-up of your CPU requiring a power-off/on reboot.

    IPS is meant to protect against bad traffic that's been allowed in by conntrack or firewall rules.

    Cheers - Bob
  • 0
    Barry, Bob...

    In your opinion, are there any benefits of enabling IPS in scenario where UTM is configured with only one interface (Web/WAF filtering) ?
  • 0
    @vilic:  In a word, yes.

    Edit for more info:  The different protections check for different things in different ways.  It's one of the advantages of using components from different vendors and rulesets.
  • 0 in reply to Scott_Klassen
    @vilic:  In a word, yes.


    Scott, 

    I will need more than a one word explanation to a potential customer...[:)]

    If IPS is not needed, in this case it would be cheaper to license only "HW + Web Protection + WebServer Protection" rather than TotalProtect bundle.
  • 0
    I know that Snort and the reverseproxy protect against different attacks using different rulesets, so I would be interested in what your Sophos sales rep would hear by asking this question of their pre-sales engineers.  Bear in mind that TotalProtect also includes premium support.

    Cheers - Bob
  • 0
    Bob, are you sure that premium support is by default included in TotalProtect bundle?

    Quote from the EMEA partner price list:
    Includes: SG 105 Appliance, FullGuard 105 subscription and 8x5 support.
  • 0
    Yeah, it does look like this is different.  Here's from the NA price list: "Includes: SG 105 Appliance, FullGuard 105 subscription and Sophos 24/7 support. Cannot be un-bundled. Please use FullGuard Bundle Prem. Support Renewal SKUs to renew TotalProtect."

    Cheers - Bob
  • 0 in reply to vilic
    Barry, Bob...

    In your opinion, are there any benefits of enabling IPS in scenario where UTM is configured with only one interface (Web/WAF filtering) ?


    I don't believe the IPS will work properly in single-NIC mode, but I can't test again as I don't have a Network Protection license on our Proxy.

    Our reseller said the same thing 1.5 years ago:
    Regarding IPS; pretty sure you have to have a source and destination interface, whether it’s at layer 3 or 2 (bridged interfaces).  I don’t think you can run IPS with a single interface – you could take a single interface and VLAN it, though.


    Barry