Ciao a tutti,
ho creato le seguenti rules nel mio Cisco Mars, ho provato a modificarle in vari modi ma non mi danno il risultato sperato.
____
DOWN VPN:
Time range: 2 minutes
Email: to me
Offset: 1
Source IP: 192.168.0.1
Destination IP: xxx.xxx.xxx.xxx
Service Name: ANY
Event: IPSec SA between tunnel end points has been deleted
Device: ASA5505-TESTMARS
Reported User: None
IPS Risk Rating: ANY
IPS Threat Rating: ANY
Keyword: ANY
Severity: ANY
Count: 1
FOLLOWED BY
Offset: 2
Source IP: 192.168.0.1
Destination IP: xxx.xxx.xxx.xxx
Service Name: ANY
Event: != IPSec SA has been created
Device: ASA5505-TESTMARS
Reported User: None
IPS Risk Rating: ANY
IPS Threat Rating: ANY
Keyword: ANY
Severity: ANY
Count: 1
UP VPN:
Time range: 2 minutes
Email: to me
Offset: 1
Source IP: 192.168.0.1
Destination IP: xxx.xxx.xxx.xxx
Service Name: ANY
Event: != IPSec SA between tunnel end points has been deleted
Device: ASA5505-TESTMARS
Reported User: None
IPS Risk Rating: ANY
IPS Threat Rating: ANY
Keyword: ANY
Severity: ANY
Count: 1
FOLLOWED BY
Offset: 2
Source IP: 192.168.0.1
Destination IP: xxx.xxx.xxx.xxx
Service Name: ANY
Event: IPSec SA has been created
Device: ASA5505-TESTMARS
Reported User: None
IPS Risk Rating: ANY
IPS Threat Rating: ANY
Keyword: ANY
Severity: ANY
Count: 1
____
Volevo che le rules venissero triggerate solo se nel time range settato erano entrambe soddisfatte, ma essendo ogni rule composta da un evento "!=" ed uno "=" vengono triggerate non appena l'evento "=" é soddisfatto.
Il problema é che durante la notte ricevo un sacco di spam dal Mars perché i canali VPN che in questo lasso di tempo non hanno traffico ricreano la SA ogni 30 minuti. Questo processo dura meno di 15 secondi e non desidero essere informato di questo perché non lo ritengo critico; se il down dura più di 2 minuti allora comincio a considerarlo critico.
Qualche idea su come bypassare il problema???
Grazie in anticipo per un aiuto.
Saluti.
Cisco Mars rules VPN UP/DOWN
Moderatore: Federico.Lagni
