[7.460][FEATURE][ANSWERED] Observation:IPS too sensitive.

We changed a lot of snort-things in our beta version,
the snort engine and the preprocessor are new and we support new rules + so_rules,
the beta version has over 2500 rules more than the actual stable version enabled by default, so some FP are possible.
We study the UBB and are searching for these FP, check and fix them.
Beginning of July there will be a new corrected ips pattern up2date.
(ips pattern rpm version 7.135)
Thanks for your help!

SvenW
ASTARO  AG

I've a new false positive:

When I play Windows Media video streams, I get the following Quicktime (!) IPS alert - nevertheless the stream is played:

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: EXPLOIT Apple Quicktime TCP RTSP sdp type buffer overflow attempt
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=12741
Time...........: 2009:06:24-00:33:57
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Attempted User Privilege Gain
IP protocol....: 6 (TCP)

Stream can be found here: PHOENIX - Videostreams

Regards,
Bastian

Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
Is this expected?
It takes about a minute.

Thanks,
Barry

I got another one, this time I've got no clue what caused that (originates from internal ip):

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: ATTACK-RESPONSES Invalid URL
Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=1200
Time...........: 2009:06:29-18:42:44
Packet dropped.: yes
Priority.......: 2 (medium)
Classification.: Attempted Information Leak IP protocol....: 6 (TCP)

Source IP address: 192.168.0.90
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Source port: 80 (http)
Destination IP address: 116.125.30.232
- Where are my results?
- Query the RIPE Database
- ARIN: WHOIS Database Search
- APNIC - Query the APNIC Whois Database
Destination port: 59015

Monarch, do you have a webserver running?

Barry

Another question:

I don't want to disable the IPS completely, but I'm getting complaints from my household about lots of things not working.

How can I disable the new rules or set them to alert only, aside from manually creating 5500 exceptions?

Thanks,
Barry

Yes I have a web server... but how should it generate malicious packets?! 
I'll check the log files...

Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
Is this expected?
It takes about a minute.
Thanks,
Barry

They changed the detection method from lowmem to ac-bnfa(/var/chroot-snort/etc/snort/snort.conf-default... look for config detection:search-method) which although more responsive, takes longer to load. Its not a bug per se but sure sucks specially if you make small changes to network configurations and snort restarts and you are sitting there twiddling your thumb[;)]
Its probably not that noticeable on single instances of snort but dual instances take a long time since although they load in parallel, it seems that one instance is is slightly behind the other.

Another observation... My IPS is a lot stable ever since I reloaded the ISO from scratch. When I first did the update by just upgrading to new firmware, it was really bad.

Yes I have a web server... but how should it generate malicious packets?! 
I'll check the log files...

I think that alert triggers on the server sending a 404 response.

I usually disable that rule, if that's the one I'm thinking of.

Barry

I've been getting a lot of alerts for sid 5318... I finally tracked down a cached copy of the snort page for that sid...
Snort - the de facto standard for intrusion detection/prevention

and it says
False Positives  This rule will generate false positives since it is very generic in nature. For this reason the normal state of this rule is disabled.

So, why has Astaro enabled it and set it to drop??

Thanks,
Barry

I think it goes back to what monarch posted in the second post of this thread here. If there was ever a public exploit available for what is being blocked, they are going to block it. That way if some bonehead tries to test the IPS sensitivity against known exploits, it will work almost 100% of the time.

It sure sucks for the rest of us trying to disable each rule one at a time or turning off IPS completely.

Just to comment as well on the sensitivity of the IPS. I am having my utorrent working at the moment and I am getting 100 lines of traffic and it keeps going!!!!(attached)

Just to comment as well on the sensitivity of the IPS. I am having my utorrent working at the moment and I am getting 100 lines of traffic and it keeps going!!!!(attached)

Just to comment as well on the sensitivity of the IPS. I am having my utorrent working at the moment and I am getting 100 lines of traffic and it keeps going!!!!(attached)

Do you have P2P blocking on?

Barry

Do you have P2P blocking on?

Barry

I have blocked them all except bitorrent.I can download/upload fine.It's just that some of the IDS logs are strange to me

i.e :

2009:07:02-23:53:42 stuffman snort[4320]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="TCP Timestamp is outside of PAWS window" group="0" srcip="89.236.10.195" dstip="172.16.1.2" proto="6" srcport="44880" dstport="54355" sid="0" class="" priority="3" generator="129" msgid="1" 

54355=utorrent port
172.16.1.2=utorrent client

I think that utorrent uses portscan (most of the logs) but I am currently trying to find out why