Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1239 views
  • Users 0 members are here
Options
Suggested

[NOTABUG] [7.350] IPS Exceptions issue

mdallagi
Hi

I found an issue with exceptions on IPS.
Consider this environment:

Nessus---Internet---ASG---DMZ---FTPserver

The FTPserver is published with DNAT.

The IPS configuration of ASG is:

- Protection of Internal Network (DMZ)
- Enabled all attack patterns with all extra-warnings.
- Anti-Portscan enabled. 
- One exception defined = No Intrusion Protection from IP=5.6.7.8 to FTPserver.

The IP of Nessus is 1.2.3.4.
 
When Nessus performs its penetration tests against the FTP server, the ips.log doesn't report any intrusion attempts, only port scan attempts.
In fact, the IPS doesn't protect the internal FTPserver but I want to disable IPS only from 5.6.7.8 !

If I disable the exception rule, the IPS works and it protects my FTPserver showing the intrusion attempts on ips.log but this can create problems when I came from 5.6.7.8.

This is a big problem and pratically the IPS exceptions doesn't work.

The same issue also affects the 7.30x version!
Parents
  • 0
    Exception preconditions are not ANDed but ORed, so either the source has to be 5.6.7.8 OR the destination has to be the FTP Server.

    Remove the FTP server target condition, then it should work as expected.
  • 0 in reply to tom_01
    Ok Tom, but what you are telling me is not documented.

    I never found that "Exception preconditions are not ANDed but ORed."
    I searched on Manual, web admin help and on KB but I haven't found any reference about it.

    If this kind of configuration is not possible, you have to document it or deny the creation of
    this rules.

    However, imagine to connect also a web server to DMZ.
    With your solution every type of traffic is permitted to both servers and I can't disable IPS to a specific service from a well-known source, but syntactically the web admin permit this configuration.
Reply
  • 0 in reply to tom_01
    Ok Tom, but what you are telling me is not documented.

    I never found that "Exception preconditions are not ANDed but ORed."
    I searched on Manual, web admin help and on KB but I haven't found any reference about it.

    If this kind of configuration is not possible, you have to document it or deny the creation of
    this rules.

    However, imagine to connect also a web server to DMZ.
    With your solution every type of traffic is permitted to both servers and I can't disable IPS to a specific service from a well-known source, but syntactically the web admin permit this configuration.
Children