Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 13780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS & Local Network definitions

Mokaz
Hi all,

Under Network Protection --> IPS what are your usual "Local networks" you set there? Do you set your WAN link in there as well??

Here is what i'm reading in the manual which is not reall clear;

Local networks: Add or select the networks that should be protected by the intrusion prevention system. If no local network is selected, intrusion prevention will automatically be deactivated and no traffic is monitored. How to add a definition is explained on the Definitions & Users > Network Definitions > Network Definitions page.

In fact i'm not sure what to include here, either ALL my local networks (which for me includes my WAN link) or only my purely local and "safe" networks..

Thanks,
regards,
m


This thread was automatically locked due to age.
  • 0
    Since I know who your reseller is, Barry, I'm hesitant to disagree with him! [:O]  In this case, although I haven't tested it to prove it to myself, my understanding of the picture attached to Rulz is that IPS will be applied at one point to packets that enter/leave.

    Cheers - Bob
  • 0
    Bob, I don't believe there's a technical reason why it couldn't work, but I do believe there's some detail in the implementation (Sophos or Snort, not sure which) that causes it not to.

    As an example, afaict the IPS does not filter traffic TO the UTM's external addresses; it only seems to come into effect when traffic leaves the UTM into the Protected Networks (on another interface).

    Perhaps the "on another interface" is what is preventing Snort from seeing the traffic, I'm not really sure.

    I suppose someone with the appropriate licenses, or a reseller, could inquire with Sophos.

    Barry
  • 0
    Actually, IPS will catch traffic coming from the LAN headed to the Internet.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello there,

    most of the notifications relating to ips is "from: external isp net, to: internal subnet". So i think The Traffic, which is passing the utm (via x-NAT/pf or Proxy) is scanned by the defined ips-rules (which matches the services and infrastructure, who are/is behind(!) the utm and facing into wan direction.

    When there's no corresponding proxy or rule, then the traffic will be blocked before the ips can scan anything.

    That's my understanding of the idea behind IPS.

    Greetings....
  • 0
    Here is the answer from NEEMEA Sophos pre-sales support:

    The IPS engine requires the packets to pass the UTM to be inspected. In a scenario where webserver protection is used with one dedicated interface only, traffic will still be routed to the appliance and can be protected by the UTMs security features. So the answer is yes. As long as you make sure the traffic is logically passing the UTM the IPS engine will be a good way to provide additional security to the services protected by the WAF.
  • 0
    I'm not sure what they mean by 'passing', but since they said "one dedicated interface", maybe it'd work?

    Anyone running IPS and WAF on a single interface? Are you getting IPS events?

    Barry
  • 0
    I was just passing through my script from CA course, there is much better explanation that supports this fact:

    New in version 9.2 the UTM can detect and block command & control (C&C) botnet traffic with Advanced Threat Protection (ATP). At the core of ATP is a set of different traffic analysis mechanisms based on DNS, IP tables and the application control engine. This efficiently checks against data from Sophos Labs to detect and prevent devices connecting to C&C/botnets outside the network. But that's not all; if you also enable Web Protection and IPS (which we recommend) the ATP analysis will be leverage to the results of those systems - all consolidated in one dashboard/inline report/reporting view.