Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 1854 views
  • Users 0 members are here
Options
Suggested

[8.950][ANSWERED] IPS Update patterns problem

simby
Hi!

I have to 2 astaro 8.950 in testing,...

on 1 is current system configuration  
Intrusion Prevention is active with 12206 of 12206 patterns

on 2  is current system configuration
Intrusion Prevention is active with 6975 of 12385 patterns


Why is not on 1 astaro updated to 12385 patterns?
  • 0
    Hi simby,

    this is caused by different IPS pattern versions. Please check if the following returns different values on either UTM: 
    rpm -qa | egrep 'u2d-ipsbundle'


    But nontheless you can force an upgrade: 
    audld.plx --types ipsbundle

    auisys.plx --types ipsbundle


    Cheers,
    Cristof
  • 0 in reply to cziel
    dexter:/home/login # rpm -qa | egrep 'u2d-ipsbundle'
    u2d-ipsbundle-9-37
    dexter:/home/login # audld.plx --types ipsbundle
    Starting Up2Date Package Downloader
    Authenticating ...
    Authentication successful!
    No new packages available, exiting.
    dexter:/home/login # auisys.plx --types ipsbundle
    Starting Up2Date Package Installer
    dexter:/home/login # Searching for available up2date packages for type 'ipsbundle'
    There are no 'ipsbundle' packages available for installation

    Up2Date Package Installer finished, exiting

    Any other sugestion how to update?
  • 0
    same issue with me. I have 12206 as well.

    ****:/root # rpm -qa | egrep 'u2d-ipsbundle'
    u2d-ipsbundle-9-37
    ****:/root # audld.plx --types ipsbundle
    Starting Up2Date Package Downloader
    Authenticating ...
    Authentication successful!
    No new packages available, exiting.
    ****:/root # auisys.plx --types ipsbundle
    Starting Up2Date Package Installer
    ****:/root # Searching for available up2date packages for type 'ipsbundle'
    There are no 'ipsbundle' packages available for installation

    Up2Date Package Installer finished, exiting

  • 0
    Current ipsbundle version is 9.37. So you have the latest pattern. 
    My ASG (sorry UTM) also have a maximum of 12206 rules. 
    Can you please verify the md5sum of your rule file?

    asg:/ # md5sum /etc/snort/snortrules.ph 
    f94f5345c51fbfd2fef4270c59a79595  /etc/snort/snortrules.ph
    asg:/ # md5sum /etc/snort/ip***ceptions.ph 
    093e0f259d18087719d6052e80016a86  /etc/snort/ip***ceptions.ph

    Thank you
    /snowcrash
  • 0 in reply to snowcrash_01
    dexter:/home/login # md5sum /etc/snort/snortrules.ph
    f94f5345c51fbfd2fef4270c59a79595  /etc/snort/snortrules.ph

    dexter:/home/login # md5sum /etc/snort/ip***ceptions.ph
    093e0f259d18087719d6052e80016a86  /etc/snort/ip***ceptions.ph
  • 0 in reply to simby
    hmm strange, you have the same md5sums like me and the version you use is the newest one. So you should have a maximum of 12206 rules. 
    I have no idea why one of your boxes shows a larger amount of available rules.
  • 0 in reply to cziel
    Hi simby,

    this is caused by different IPS pattern versions. Please check if the following returns different values on either UTM:
    rpm -qa | egrep 'u2d-ipsbundle'


    But nontheless you can force an upgrade:
    audld.plx --types ipsbundle
    auisys.plx --types ipsbundle


    Cheers,
    Cristof


    My ASG220:
    - Intrusion Prevention is active with 5226 of 11796 patterns
    - Firmware version: 8.950-12
    - Pattern version:  24621
    - Last check: never
    - Uptime: 3d 22h 45m

    UTM220:/home/login# rpm -qa | egrep 'u2d-ipsbundle'
    u2d-ipsbundle-9-32

    UTM220:/home/login# audld.plx --types ipsbundle
    Starting Up2Date Package Downloader
    Authenticating ...
    Authentication failed, no valid answer from Authentication Servers

    Although set to 15 minutes, ASG advises that there has never been checking.

    On set to manual check:
    Current pattern version: 24621
    Latest available pattern version: 0

    2012:05:14-17:43:55 UTM220 audld[4100]: 1. main::run:194() audld.pl
    2012:05:14-17:43:55 UTM220 audld[4100]: 2. main::top-level:27() audld.pl
    2012:05:14-17:43:57 UTM220 audld[3600]: Could not connect to Authentication Server 184.72.238.199:443 (code=500).
    2012:05:14-17:44:42 UTM220 audld[3600]: Could not connect to Authentication Server 175.41.132.12:443 (code=500).
    2012:05:14-17:48:37 UTM220 audld[5293]: Starting Up2Date Package Downloader
    2012:05:14-17:48:37 UTM220 audld[5293]: patch up2date possible
    2012:05:14-17:49:02 UTM220 audld[5355]: >============================
  • 0 in reply to snowcrash_01
    Probably a display / reporting issue of some kind rather than an actual IPS issue -- this has happened before in versions past.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to Siarom


    2012:05:14-17:43:55 UTM220 audld[4100]: 1. main::run:194() audld.pl
    2012:05:14-17:43:55 UTM220 audld[4100]: 2. main::top-level:27() audld.pl
    2012:05:14-17:43:57 UTM220 audld[3600]: Could not connect to Authentication Server 184.72.238.199:443 (code=500).
    2012:05:14-17:44:42 UTM220 audld[3600]: Could not connect to Authentication Server 175.41.132.12:443 (code=500).
    2012:05:14-17:48:37 UTM220 audld[5293]: Starting Up2Date Package Downloader
    2012:05:14-17:48:37 UTM220 audld[5293]: patch up2date possible
    2012:05:14-17:49:02 UTM220 audld[5355]: >============================


    This looks like you couldn't access 2 from 3 up2date servers. But the 3rd one answered and you downloaded a up2date package. Do you have features lika AV/IPS/AppCtrl enabled? Otherwise the UTM won't download patterns.

    The active list of up2date servers can be found in /etc/up2date/servers.sorted. Maybe you can try 'audld.plx -s IP-ADDRESS' or even with some debug enabled  'audld.plx --level d -s IP-ADDRESS'.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?