[7.460][FEATURE][ANSWERED] Observation:IPS too sensitive.

We changed a lot of snort-things in our beta version,
the snort engine and the preprocessor are new and we support new rules + so_rules,
the beta version has over 2500 rules more than the actual stable version enabled by default, so some FP are possible.
We study the UBB and are searching for these FP, check and fix them.
Beginning of July there will be a new corrected ips pattern up2date.
(ips pattern rpm version 7.135)
Thanks for your help!

SvenW
ASTARO  AG

I've a new false positive:

When I play Windows Media video streams, I get the following Quicktime (!) IPS alert - nevertheless the stream is played:

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: EXPLOIT Apple Quicktime TCP RTSP sdp type buffer overflow attempt
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=12741
Time...........: 2009:06:24-00:33:57
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Attempted User Privilege Gain
IP protocol....: 6 (TCP)

Stream can be found here: PHOENIX - Videostreams

Regards,
Bastian

I got this alert today:

Message........: MULTIMEDIA Quicktime User Agent access 
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=1436
Time...........: 2009:06:29-01:21:35 
Packet dropped.: yes 
Priority.......: 1 (high) Classification.: Potential Corporate Privacy 
Violation IP protocol....: 6 (TCP) 

Why is this even turned on?
I don't want to block Quicktime, and I see no list in the rules about policy (privacy??) violations.

Thanks,
Barry

Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
Is this expected?
It takes about a minute.

Thanks,
Barry

I got another one, this time I've got no clue what caused that (originates from internal ip):

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: ATTACK-RESPONSES Invalid URL
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=1200
Time...........: 2009:06:29-18:42:44
Packet dropped.: yes
Priority.......: 2 (medium)
Classification.: Attempted Information Leak IP protocol....: 6 (TCP)

Source IP address: 192.168.0.90
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Source port: 80 (http)
Destination IP address: 116.125.30.232
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Destination port: 59015

Monarch, do you have a webserver running?

Barry

Another question:

I don't want to disable the IPS completely, but I'm getting complaints from my household about lots of things not working.

How can I disable the new rules or set them to alert only, aside from manually creating 5500 exceptions?

Thanks,
Barry

Yes I have a web server... but how should it generate malicious packets?! 
I'll check the log files...

Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
Is this expected?
It takes about a minute.
Thanks,
Barry

They changed the detection method from lowmem to ac-bnfa(/var/chroot-snort/etc/snort/snort.conf-default... look for config detection:search-method) which although more responsive, takes longer to load. Its not a bug per se but sure sucks specially if you make small changes to network configurations and snort restarts and you are sitting there twiddling your thumb[;)]
Its probably not that noticeable on single instances of snort but dual instances take a long time since although they load in parallel, it seems that one instance is is slightly behind the other.

Another observation... My IPS is a lot stable ever since I reloaded the ISO from scratch. When I first did the update by just upgrading to new firmware, it was really bad.

Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
Is this expected?
It takes about a minute.
Thanks,
Barry

They changed the detection method from lowmem to ac-bnfa(/var/chroot-snort/etc/snort/snort.conf-default... look for config detection:search-method) which although more responsive, takes longer to load. Its not a bug per se but sure sucks specially if you make small changes to network configurations and snort restarts and you are sitting there twiddling your thumb[;)]
Its probably not that noticeable on single instances of snort but dual instances take a long time since although they load in parallel, it seems that one instance is is slightly behind the other.

Another observation... My IPS is a lot stable ever since I reloaded the ISO from scratch. When I first did the update by just upgrading to new firmware, it was really bad.