Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2757 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ISP: viele false positives

onkelnatas
Tag zusammen

Um herauszufinden ob ich als einziger mit dem Problem dastehe:

Bei mehreren Kunden häufen sich in letzter Zeit die false-positives Meldungen des ISP beim Download von Dokumenten aus dem Internet.
aktuell:
http://www.bfs.admin.ch/bfs/portal/de/index/infothek/nomenklaturen/blank/blank/gem_liste/03.Document.90142.xls

Die Lösung, respektive der Work-around des Astaro-Supports ist immer die Regel unter Network-Security- Angriffsschutz - Erweiter, geänderte Regel: ID eintragen und deaktivieren.

Sind bei euch ähnliche Phänomene aufgetreten und wenn ja, was war eure Lösung?

Grüsse

Ralph


This thread was automatically locked due to age.
Parents
  • 0
    Deaktivieren der fälschlicherweise anschlagenden Regeln ist doch die Lösung? Hast Du doch bereits Dir selbst beantwortet? Alternativ auf das nächste IPS-Pattern-Update warten und hoffen, dass damit besser wird.

    Zum Thema: Ab v9 gibt es fürs IPS den zusätzlichen U2D pattern kanal 'u2d-ips exception', der genau für diesen Zweck gedacht ist. Das Problem mit normalen IPS-Pattern (Engine & Ruleset) ist, dass es deutlich aufwendiger ist, hier Updates zu releasen da der Testaufwand und das Bricking-Risk sehr viel höher ist. Der Exceptions-Kanal macht nix anderes, als geläufige false-positive Regeln auszuknipsen. Auch arbeiten wir daran, vom IPS auf Kundenseite Feedback einzusammeln, um so häufig anschlagende Regeln zu identifizieren. Aber solche Ansätze sorgen auch immer für gewissen Schluckauf, siehe z.B. hier.

    Hast Du v9 drauf?
Reply
  • 0
    Deaktivieren der fälschlicherweise anschlagenden Regeln ist doch die Lösung? Hast Du doch bereits Dir selbst beantwortet? Alternativ auf das nächste IPS-Pattern-Update warten und hoffen, dass damit besser wird.

    Zum Thema: Ab v9 gibt es fürs IPS den zusätzlichen U2D pattern kanal 'u2d-ips exception', der genau für diesen Zweck gedacht ist. Das Problem mit normalen IPS-Pattern (Engine & Ruleset) ist, dass es deutlich aufwendiger ist, hier Updates zu releasen da der Testaufwand und das Bricking-Risk sehr viel höher ist. Der Exceptions-Kanal macht nix anderes, als geläufige false-positive Regeln auszuknipsen. Auch arbeiten wir daran, vom IPS auf Kundenseite Feedback einzusammeln, um so häufig anschlagende Regeln zu identifizieren. Aber solche Ansätze sorgen auch immer für gewissen Schluckauf, siehe z.B. hier.

    Hast Du v9 drauf?
Children
No Data
Cookie Information Banner