Delay in first connection - ASG and Internet

Hi,

Sounds like dns is not working properly if you are able to ping by IP address. I would check the Intrusion Protection log to see if any traffic is being dropped and the Firewall log for some clues, and web security log if you have that enabled.

Hi Dilandau,

Thanks for this. DNS does seem to be the culprit but not sure why the delay.

I see a lot of portscan errors in the intrusion protection log like this:

2012:05:09-09:47:34 cirrusfw ulogd[5230]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="eth0" outitf="eth1" srcmac="84:8f:69:b3:88:13" dstmac="0:30:48:8c:67:e2" srcip="192.168.1.83" dstip="65.55.223.15" proto="17" length="218" tos="0x00" prec="0x00" ttl="127" srcport="62902" dstport="40037"

Some of the external IP addresses are google bot which is sort of understood. This particular address will not answer.

Nothing in the firewall log shows any clues, mainly info records, like these:

2012:05:09-09:35:44 cirrusfw ulogd[5230]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="7" initf="eth0" outitf="eth1" srcmac="0:25:b3:50:59[:D]9" dstmac="0:30:48:8c:67:e2" srcip="192.168.1.82" dstip="221.123.176.75" proto="17" length="184" tos="0x00" prec="0x00" ttl="127" srcport="8000" dstport="8000" 

Port 8000 is being used by our email server

We are not running web security.

If I disable intrusion protection, it may show a difference when reconnecting in the morning, but what sort of risk are we at with it disabled?

Any thoughts?

TIA
Glyn

When we connect in the morning there is no connection to the ASG or the Internet for about 5 minutes; thereafter all connections work fine. During this delay, I can ping the ASG and the ISP DNS server and even web sites using URLs.

What do you mean by "there is no connection to the ASG or the Internet?"  How about an example of a web site you can ping when you can't connect?

Cheers - Bob

Hi Bob,

When I write "connection" I mean getting to see a web site. The first one is not getting a reply from the Webadmin or the user portal which obviously uses numerical addresses. I am using Chrome and I get the usual error suggesting that I reload the page or ctl F5. After about 5 minutes the web pages are rendered. 
I get the same with for example, News24, South Africa's premier news source, provides breaking news on national, world, Africa, sport, entertainment, technology & more.. Again after about 5 minutes, the page is rendered.
During this 5 minute delay, I can ping all the above addresses  from my laptop.

Does this help?

Cheers
Glyn

Well, this is a guess, Glyn...  If the portscan blocks occur during the time you're unable to get out, it could be because you both have been infected with some kind of Trojan.  Maybe the malware tries for five minutes to get out, and then finally gives up.

Does an AV scan of your laptops show anything?

Cheers - Bob

That could make sense Bob. I am running a full scan with MS Security Essentials and see if it finds something.
I am assuming that Intrusion Protection works in both directions?
In the morning I will "tail -f" the intrusion protection log and see if there is something killing the ASG. BTW, where will I find this on the server?

"top" should show me resource usage and that could be indicative too.

Any other ideas?

I'll let you know
Cheers
Glyn

Hi Bob, Skype seems to be the culprit, not malware. When Skype starts there is a stream of port-scan reports in the log and whilst this is going on, connection to anywhere from the browser is not possible. After the 5mins, we can again use the browser to connect to anywhere. I suspect that this is the normal behaviour of Skype when it starts.
I have done 2 things:
1/ added an exception to IPS to skip all checks from internal to internal.
2/ Started network visibility and accepted Skype in application control.

I will monitor when we connect to the LAN in the morning.

However, does this make sense? Or is there a better way to do this?

TIA
Glyn

Hi Glyn,

number 2 makes no direct sense. If appcontrol was off it can not be the culprit and appcontrol is the only thing in asg that does not block by default - I think allowing something in appcontrol makes only sense to overrule an other appcontrol blockrule.

I'm no ips guru but i think no 1 makes no sense cause it never matches any traffic - please correct me if i'm wrong.

Did you already try to make an exception for the portscan detection?

Regards
Manfred

Hi Manfred,

Thanks for the feedback. I rather thought that skipping portscan for internal network was the default and so I have deleted the exception.

From what we can see, when Skype starts up, it produces a lot of traffic to a whole list of IP addresses (numeric), some of them are web sites and others are unknown. Pinging them with -a does supply some mnemonics, others nothing and the rest "time out". All these attempts showed up in IPS and for some reason during this we could not connect to ASG or a web site. Once the IPS live log stopped showing the traffic, we could connect to ASG and web sites again.

Adding Appcontrol exception for Skype seems to help. There are no IPS entries in the log when Skype starts and we don't seem to have any connection problems.

I am not sure we have fixed the symptom or the cause and I like to get to the bottom of issues but I don't know enough to dig deeper.

Any comments?

Cheers
Glyn

If you activate the SOCKS Proxy and configure Skype for that, no Exception should be needed.

Cheers - Bob