Intrusion Prevention y algunos fallos recientes de Astaro

Hola de nuevo.

El sistema intrusion prevention de Astaro es una parte que ayuda mucho a mejorar la seguridad, aunque es difícil de ajustar.

Cuando se administra habitualmente un firewall Astaro y tiene el sistema de intrusion preventio activo, es importante tener en cuenta que si lo que hemos hecho en el firewall (una regla, un NAT, activar un log, cambiar cualquier configuración, o cualquier otra cosa) no funciona como esperamos, puede ser por 3 motivos básicamente:

  1. Que haya un bug en el firewall. Es decir, que no funcione como debe y por lo tanto el error es de Astaro.
  2. Que lo hayamos hecho mal. Es decir, el error es del administrador. Por ejemplo, la regla está mal hecha, mal puesta una ip, o una definición, o cualquier cosa.
  3. Que el sistema de intrusion prevention esté influyendo sin que nos demos cuenta.

Teniendo en cuenta lo anterior, es conveniente revisar la tarea de administración que hemos hecho. Si después de revisarla no encontramos el problema y por lo tanto no hace lo que esperamos, mi recomendación es detener (parar) temporalmente el sistema de intrusion prevention y comprobar de nuevo si sigue sin funcionar, o si por el contrario YA FUNCIONA. En este caso, el sistema de intrusion prevention está afectando y habrá que ver los motivos, que ya es otra guerra. Por lo tanto, es importante no olvidar el punto 3 que he puesto anteriormente. Si algo no va bien, prueba primero a parar el intrusion prevention.

Hay que recordar que el intrusion prevention, igual que el antivirus, se actualizan cada pocos minutos por defecto. Esto está muy bien, pero en caso de error grave del fabricante, puede traer muchos problemas. No es lo habitual, pero puede ocurrir. El tiempo es configurable, y también si se quiere actualizar o no.

Hoy desde luego ha sido un día malo para los administradores de Astaro y también para Astaro. Aquí van dos links con dos fallos: uno de ellos en el intrusion prevention y otro en el antivirus.

El del intrusion prevention ha sido muy grave, porque ha hecho que el firewall dejase de funcionar en muchos casos, lo cual es grave. En pocas horas ha estado resuelto, pero mientras tanto, ha habido que capear el temporal y buscar alternativas. El administrador de un firewall no debe dejar todo en manos del fabricante, sino que tiene también una responsabilidad y debe de saber detectar los problemas y buscar soluciones alternativas.

Aquí van los links de los fallos:

  • Faulty IPS pattern blocks all traffic – How to fix it!

(Patrones con errores del IPS (intrusion prevention system) bloquea todo el tráfico – ¡Cómo solucionarlo!
http://up2date.astaro.com/2010/05/faulty_ips_pattern_blockes_all.html

  • Faulty Anti-Virus pattern – fixed pattern already released!

(Patrones con errores del antivirus – ¡patrones corregidos ya liberados(actualizados)! )
http://up2date.astaro.com/2010/05/faulty_antivirus_pattern_fixed.html

Y el foro ha estado como siempre animado sobre todo con el tema del IPS: http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips-more/31649-update-ips-pattern-update-fixed.html

Hasta la siguente actualización del blog.

Anuncios

3 comentarios en “Intrusion Prevention y algunos fallos recientes de Astaro

  1. Muchas por esto, tengo un equipo Astaro en mi red y no tengo tanta experiencia con equipos de comunicacion…. Ayuda como esta es justo agradecerla!!!
    Pregunta.
    Ahora que estan desactivados los patrones tengo un alto consumo en el ancho de banda, esto es un efecto colateral al daño?
    Tengo a los proveedores en busca de una solucion pero demoran en atenderme!!!

    slds,

    1. Hola Eric.

      Es difícil responderte sí o no a tu pregunta, sin conocer la instalación y la configuración. Sin embargo, puedo darte algunos pasos a seguir para intentar encontrar la causa del alto consumo de ancho de banda.
      Para ello, daré algunas cosas por supuestas y otras no. Si ves que alguna suposición es errónea, me respondes e intento darte otros pasos.

      Paso 1: ¿el consumo de ancho de banda elevado lo has observado justo desde que paraste el intrusion prevention? Esto lo puedes consultar en el histórico de consumo de ancho de banda, entrando en el Webadmin –> Reporting –> Network Usage –> Weekly? Saldrá un informe por cada interfaz. Mira el que corresponde a tu conexión a internet.
      En caso afirmativo, el problema podría estar relacionado. Yo no lo creo, pero podría ocurrir, y en todos los servidores que yo tengo no he observado el problema, y aún tengo el intrusion protection desactivado. Mi idea era activarlo mañana, y dejar pasar hoy por si había algo sin corregir por parte de Astaro.
      En caso negativo, entonces el consumo de ancho de banda elevado puede ser debido a razones normales: alta descarga de un usuario, una transferencia ftp, una conexión vpn que consume mucho, etc, … es decir, picos normales de red que están dentro de lo habitual en cualquier red.

      Paso 2: Para ver quién está consumiendo el ancho de banda, independientemente de que se deba o no al fallo con el intrusion protection, y también independientemente de que sea puntual o lleve más tiempo, lo mejor es consultar el consumo de ancho de banda en tiempo real. En una de las últimas actualizaciones de astaro incluyeron una opción en el dashboard para mirar el consumo en tiempo real. No está todavía muy fina en mi opinión, pero ayuda bastante. Para consultar, entrada en el Webadmin –> Dashboard –> en la parte de la derecha verás todos los interfaces, y varias columnas por cada uno de ellos. Las dos últimas columnas son IN y OUT. Haz doble click sobre la unión de tu inferfaz de conexión a internet y la columna IN o la columna OUT, es decir, donde va apareciendo los kbps o Mbps que se está consumiendo de entrada (IN) y de salida (OUT) en ese interfaz. Se abrirá una ventana y verás las conexiones: ip origen, puerto origen, ip destino y puerto destino, y esto te dará una pista de por donde viene el problema. Tarda unos segundos en aparecer la información, es normal.

      Paso 3: Prueba a activar de nuevo el intrusion protection, siempre que una actualización de patrones que incluya la corrección. Para ello, sigue estos pasos:
      – Mira la versión de patriones que tienes actualmente: en Dashboard –> Version information –> Pattern version: (aquí habrá un número, apúntalo).
      – Sigue las instrucciones de http://up2date.astaro.com/2010/05/faulty_ips_pattern_blockes_all.html para corregir el problema. Después activas el intrusion prevention de nuevo.
      – Compruebas que tienes las actualizaciones activas (Managemente –> Update –> Configuration –> Patern download/installation interval –> lo pones en Every 15 minutes que es el valor por defecto).
      – Pasado un tiempo, por ejemplo 1 hora puede estar bien, aunque tienes el ancho de banda muy ocupado, comprueba de nuevo la versión de patrones en Dashboard –> Version information –> Pattern version: (aquí habrá un número, que será 12414 o superior). Estos patrones son ya recientes y superiores a los del error detectado el viernes.
      – Mira a ver si el consumo de ancho de banda sigue estando alto. Si se debiera al intrusion prevention, entonces desaparecería. Yo intuyo, aunque sólo es intuición porque no tengo datos sobre tu configuración de Astaro, ni tu red ni su uso, que no se deberá a eso, pero me puedo equivocar.

      Espero que estos pasos te ayuden.

      En relación a esto, voy a otra entrada en el blog, con una nueva noticia relacionada en el blog de actualizaciones de Astaro http://up2date.astaro.com.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s