Thread Info
  • State Not Answered
  • Replies 31 replies
  • Subscribers 0 subscribers
  • Views 15679 views
  • Users 0 members are here
Options
Suggested

[7.460][FEATURE][ANSWERED] Observation:IPS too sensitive.

Billybob
I have had the new system running for about an hour and a half. I haven't done any websurfing, just tried to download the full ISO of astaro 7.46. The IPS is going crazy and interrupting the download somewhere in between. Finally had to use a download manager to complete the download. 
This level of detection enabled by defaults will lead to a flood of complaints/tickets to astaro. I know that some people love to see that IPS is working... woohoo!! but some have better things to do in life[:P]
Screenshot of IPS activity in just 1.5hrs after downloading and installing new beta
Parents
  • 0
    We changed a lot of snort-things in our beta version,
    the snort engine and the preprocessor are new and we support new rules + so_rules,
    the beta version has over 2500 rules more than the actual stable version enabled by default, so some FP are possible.
    We study the UBB and are searching for these FP, check and fix them.
    Beginning of July there will be a new corrected ips pattern up2date.
    (ips pattern rpm version 7.135)
    Thanks for your help!

    SvenW
    ASTARO  AG
  • 0 in reply to SvenW
    I've a new false positive:

    When I play Windows Media video streams, I get the following Quicktime (!) IPS alert - nevertheless the stream is played:

    An intrusion has been detected. The packet has been dropped automatically.
    You can toggle this rule between "drop" and "alert only" in WebAdmin.

    Details about the intrusion alert:

    Message........: EXPLOIT Apple Quicktime TCP RTSP sdp type buffer overflow attempt
    Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=12741
    Time...........: 2009:06:24-00:33:57
    Packet dropped.: yes
    Priority.......: 1 (high)
    Classification.: Attempted User Privilege Gain
    IP protocol....: 6 (TCP)

    Stream can be found here: PHOENIX - Videostreams

    Regards,
    Bastian
  • 0 in reply to BarryG
    Another question:

    I don't want to disable the IPS completely, but I'm getting complaints from my household about lots of things not working.

    How can I disable the new rules or set them to alert only, aside from manually creating 5500 exceptions?

    Thanks,
    Barry
  • 0 in reply to BarryG
    Yes I have a web server... but how should it generate malicious packets?! 
    I'll check the log files...
  • 0 in reply to BarryG
    Question: when I modify an IPS rule under Advanced, all network traffic stops while (2 instances) of Snort restart.
    Is this expected?
    It takes about a minute.
    Thanks,
    Barry

    They changed the detection method from lowmem to ac-bnfa(/var/chroot-snort/etc/snort/snort.conf-default... look for config detection:search-method) which although more responsive, takes longer to load. Its not a bug per se but sure sucks specially if you make small changes to network configurations and snort restarts and you are sitting there twiddling your thumb[;)]
    Its probably not that noticeable on single instances of snort but dual instances take a long time since although they load in parallel, it seems that one instance is is slightly behind the other.

    Another observation... My IPS is a lot stable ever since I reloaded the ISO from scratch. When I first did the update by just upgrading to new firmware, it was really bad.
  • 0 in reply to Monarch
    Yes I have a web server... but how should it generate malicious packets?! 
    I'll check the log files...


    I think that alert triggers on the server sending a 404 response.

    I usually disable that rule, if that's the one I'm thinking of.

    Barry
  • 0 in reply to BarryG
    I've been getting a lot of alerts for sid 5318... I finally tracked down a cached copy of the snort page for that sid...
    Snort - the de facto standard for intrusion detection/prevention

    and it says
    False Positives  This rule will generate false positives since it is very generic in nature. For this reason the normal state of this rule is disabled.

    So, why has Astaro enabled it and set it to drop??

    Thanks,
    Barry
  • 0 in reply to BarryG
    I think it goes back to what monarch posted in the second post of this thread here. If there was ever a public exploit available for what is being blocked, they are going to block it. That way if some bonehead tries to test the IPS sensitivity against known exploits, it will work almost 100% of the time.

    It sure sucks for the rest of us trying to disable each rule one at a time or turning off IPS completely.
  • 0 in reply to Billybob
    Just to comment as well on the sensitivity of the IPS. I am having my utorrent working at the moment and I am getting 100 lines of traffic and it keeps going!!!!(attached)
    IDS LOG.zip
  • 0 in reply to Billybob
    I think it goes back to what monarch posted in the second post of this thread here. If there was ever a public exploit available for what is being blocked, they are going to block it. That way if some bonehead tries to test the IPS sensitivity against known exploits, it will work almost 100% of the time.

    It sure sucks for the rest of us trying to disable each rule one at a time or turning off IPS completely.


    Then there needs to be a 'paranoid' or 'reviewer' category in the ips rules that can be EASILY disabled.

    Barry
  • 0 in reply to wingman
    Just to comment as well on the sensitivity of the IPS. I am having my utorrent working at the moment and I am getting 100 lines of traffic and it keeps going!!!!(attached)


    Do you have P2P blocking on?

    Barry
  • 0 in reply to BarryG
    Do you have P2P blocking on?

    Barry


    I have blocked them all except bitorrent.I can download/upload fine.It's just that some of the IDS logs are strange to me

    i.e :

    2009:07:02-23:53:42 stuffman snort[4320]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="TCP Timestamp is outside of PAWS window" group="0" srcip="89.236.10.195" dstip="172.16.1.2" proto="6" srcport="44880" dstport="54355" sid="0" class="" priority="3" generator="129" msgid="1" 

    54355=utorrent port
    172.16.1.2=utorrent client

    I think that utorrent uses portscan (most of the logs) but I am currently trying to find out why
Reply
  • 0 in reply to BarryG
    Do you have P2P blocking on?

    Barry


    I have blocked them all except bitorrent.I can download/upload fine.It's just that some of the IDS logs are strange to me

    i.e :

    2009:07:02-23:53:42 stuffman snort[4320]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="TCP Timestamp is outside of PAWS window" group="0" srcip="89.236.10.195" dstip="172.16.1.2" proto="6" srcport="44880" dstport="54355" sid="0" class="" priority="3" generator="129" msgid="1" 

    54355=utorrent port
    172.16.1.2=utorrent client

    I think that utorrent uses portscan (most of the logs) but I am currently trying to find out why
Children
No Data