Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 7023 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] IPS False Positive DNS Spoofing

Buggrit
Astaro software version (Firmware 7.4.80)
Pattern File: 10305

I have set up Open DNS as my two DNS forwarders. (208.67.222.222 and 208.67.220.220) Queries from the firewall succeed ok but from the internal DNS server 192.168.1.10, they fail. 

The ASG is set to allow Surfing via the HTTP/S proxy to authenticated users. Authentication is done using SSO against the back end Win2k Active Directory server. I have tested the user back-end AD authentication and that works ok. 

I checked the IPS system and found that the queries were failing with the following log line:

"2009:08:16-11:47:38 Astaro snort[31673]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS SPOOF query response with TTL of 1 min. and no authority" group="241" srcip="208.67.220.220" dstip="192.168.1.10" proto="17" srcport="53" dstport="61872" sid="254" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0" "

As I understand it Open DNS have applied all of the security patches well ahead of the recent DNS poisoning issue so I have to assume that this is a false positive response.
Parents
  • 0
    When Bruce says it, it's gospel!

    Cheers - Bob
    PS Antother great Astaro DNS Proxy trick I learned from BruceK's customer BarryG is to create an entry on the 'Request Routing' tab so that your reports have server names instead of IP addresses.  For example, in a network 10.20.30.0/24, create an entry '30.20.10.in-addr.arpa → [Internal DNS Server]'.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks guys, I've amended the DNS routing for my internal clients to only use our internal DNS server or the ASG's internal interface (Primary - Internal DNS Server and Secondary - ASG). The internal DNS is now pointing at the ASG as well. I'm switching the DNS IPS rules back on now as well so lets see what occurs. I'll report back and see if we get more examples of the same blocking behaviour.

    BTW it would be nice to have the IPS rules enable/disable section a bit more granular.  At the moment the GUI only allows an ON/OFF decision for all 23 DNS IPS tests as a single entity. Not much use when you only want to disable one or two of them. 

    JB
  • 0 in reply to Buggrit
    That seems to have bypassed the problem. I've seen no further similar errors.

    By the way I also set-up the DNS Request routing - thanks for the tip.

    JB
Reply Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?