Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 2031 views
  • Users 0 members are here
Options
Suggested

[4.744] IDS Not Detecting Attacks

Brent_Gay
Hi, I just finished running Nessus (non-safe scan) against my ASL and the IDS did not get triggered at all! Nessus should fire off all sorts of alert notifications. Also the hits in the IDS -> Rules list did not increase??

Another thing is that Nessus is picking up alot more in this beta than in 4.021. It seems the portscanner (Nmap) had no problem scanning (SYN scan) and finding all my open ports even with PSD turned on. Nessus is also showing a vulnerability in the SSH daemon being used:

The remote SSH daemon supports connections made
using the version 1.33 and/or 1.5 of the SSH protocol.

These protocols are not completely cryptographically
safe so they should not be used.

Solution : 
 If you use OpenSSH, set the option 'Protocol' to '2'
 If you use SSH.com's set the option 'Ssh1Compatibility' to 'no'
  
Risk factor : Low

After checking out the /etc/ssh/sshd_config file I saw that root logins are allowed (also tested)...is this just for the beta?? It also seems that there is no TMOUT environment variable set that disconnects an idle session, unless there is something else taking care of this.  
Parents
  • 0
    OK, I added 'Protocol 2' to the /etc/ssh/sshd_config file, ran the same Nessus scan again, and the vulnerability noted above went away. While on the topic of SSH, I also received this vulnerabilty note on both this scan and the prior one:

    You are running a version of OpenSSH which is older than 3.7.1

    Versions older than 3.7.1 are vulnerable to a flaw in the buffer management
    functions which might allow an attacker to execute arbitrary commands on this 
    host.

    An exploit for this issue is rumored to exist.


    Note that several distribution patched this hole without changing
    the version number of OpenSSH. Since Nessus solely relied on the
    banner of the remote SSH server to perform this check, this might
    be a false positive.

    If you are running a RedHat host, make sure that the command :
              rpm -q openssh-server
       
    Returns :
     openssh-server-3.1p1-13 (RedHat 7.x)
     openssh-server-3.4p1-7  (RedHat 8.0)
     openssh-server-3.5p1-11 (RedHat 9)

    Solution : Upgrade to OpenSSH 3.7.1
    See also : http://marc.theaimsgroup.com/?l=openbsd-misc&m=106375452423794&w=2
        http://marc.theaimsgroup.com/?l=openbsd-misc&m=106375456923804&w=2
    Risk factor : High
    CVE : CAN-2003-0682, CAN-2003-0693, CAN-2003-0695
    BID : 8628
    Other references : RHSA:RHSA-2003:279-02, SuSE:SUSE-SA:2003:039

    ***As noted, this could be a false positive, will try to follow up***

    I stopped and restarted the IDS and the PSD prior to running the scan and still, all (DNAT'd) ports were detected and no portscan detection e-mails or increase in hits in the IDS rules. Looking at a previous Nessus report ran against ASL 4.021 it only picked up the SMTP proxy (tcp/25) and none of the DNAT'd ports going to intrenal hosts.

    The problem I had in ASL 4.021 with Nessus apparently DoS'ing the SMTP proxy with a long string of characters does not appear to be happening with this beta.  
Reply
  • 0
    OK, I added 'Protocol 2' to the /etc/ssh/sshd_config file, ran the same Nessus scan again, and the vulnerability noted above went away. While on the topic of SSH, I also received this vulnerabilty note on both this scan and the prior one:

    You are running a version of OpenSSH which is older than 3.7.1

    Versions older than 3.7.1 are vulnerable to a flaw in the buffer management
    functions which might allow an attacker to execute arbitrary commands on this 
    host.

    An exploit for this issue is rumored to exist.


    Note that several distribution patched this hole without changing
    the version number of OpenSSH. Since Nessus solely relied on the
    banner of the remote SSH server to perform this check, this might
    be a false positive.

    If you are running a RedHat host, make sure that the command :
              rpm -q openssh-server
       
    Returns :
     openssh-server-3.1p1-13 (RedHat 7.x)
     openssh-server-3.4p1-7  (RedHat 8.0)
     openssh-server-3.5p1-11 (RedHat 9)

    Solution : Upgrade to OpenSSH 3.7.1
    See also : http://marc.theaimsgroup.com/?l=openbsd-misc&m=106375452423794&w=2
        http://marc.theaimsgroup.com/?l=openbsd-misc&m=106375456923804&w=2
    Risk factor : High
    CVE : CAN-2003-0682, CAN-2003-0693, CAN-2003-0695
    BID : 8628
    Other references : RHSA:RHSA-2003:279-02, SuSE:SUSE-SA:2003:039

    ***As noted, this could be a false positive, will try to follow up***

    I stopped and restarted the IDS and the PSD prior to running the scan and still, all (DNAT'd) ports were detected and no portscan detection e-mails or increase in hits in the IDS rules. Looking at a previous Nessus report ran against ASL 4.021 it only picked up the SMTP proxy (tcp/25) and none of the DNAT'd ports going to intrenal hosts.

    The problem I had in ASL 4.021 with Nessus apparently DoS'ing the SMTP proxy with a long string of characters does not appear to be happening with this beta.  
Children
No Data
Cookie Information Banner