Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Notifications, Overkill?

bensley
Hi All,

I am getting about 50 emails a day from one of our ASG120's (7.508). Specifically under notifications settings > under Intrusion Prevention its CRIT-825 "Intrusion Prevention Alert (Packet dropped)".

Now this is an important notification except my problem is that its users browsing the web, not attacks. I get the following messages emailed to me;

"WEB-CLIENT Apple computer finder DMG volume name memory corruption"
"WEB-CLIENT Windows Media Player JPG header record mismatch memory corruption attempt"
"WEB-CLIENT Malformed BMP dimensions arbitrary code execution attempt"
"EXPLOIT Microsoft Kodak Imaging large offset malformed jpeg tables"
"WEB-CLIENT Malformed PNG detected zTXt overflow attempt"

There are many others also but simply these all come from users browsing the Internet and like I said I get 50 alerts a day, easily. My problem is I don't want to turn off notifications for CRIT-852 but if the Astaro box drops a genuine attack I won't know because it will be amongst this sea of noise. How can I stop the ASG notifying me about these specific events?

Is the best way (if you can call it that) to disable the snort rules for these specific events?


This thread was automatically locked due to age.
  • 0
    Well I think I have fixed this (no emails since implementing the changes). Rather than disabling the snort rules under Network Security > Intrusion Prevention > Advanced, there is an option there to just disable notification. 

    Sorted [:D]
  • 0 in reply to bensley
    You don't have IPS active on the external interface network, do you?  That is a very high rate of detection if they are truly false positives.
  • 0
    Jack, I had to disable notifications on quite a few rules myself, as I was also getting numerous reports per day, even with just 1 or 2 users. 
    At least some of the rules above look like the same ones I was having trouble with, in v7.5.

    I don't have the IPS on EXT.

    Barry
  • 0 in reply to Jack Daniel
    You don't have IPS active on the external interface network, do you?  That is a very high rate of detection if they are truly false positives.


    I have enabled the IPS on the EXT interface. We changed interface so it was active on the old one and not the new one but I am still getting a handful of notifications a day (I missed a few rules out). So I guess that isn't the solution. 

    The reason I am getting these (I believe) is going to be related to our web proxy and filter (squid with squidGuard and HAVP). The source IP is always our web proxy IP and then destination port is always 80 (or sometimes 443) so its defiantly web traffic. I wonder if the ASG doesn't like something about the proxy headers or the way it handles requests. Either way this has semi solved the problem (more of a work around IMO).
  • 0 in reply to bensley
    Just to follow this up for anyone who finds this post in the same/similar boat; I had a week off and during my week off I had 160 notifications (a combination of CRIT-852, WARN-852 and INFO-852) which is a lot but less than normal. 

    As I mentioned before, I missed a few rules out. I will add some more in and set them to don't notify (for example one notification was about a potential Lotus Notes exploits, but we don't run Lotus Notes but others could be actual potential exploits so I daren't add them).

    So I think for me, it is clare there is something wrong here but as I mentioned in a previous post, we have a proxy from which all this traffic originates so I can't be sure its the ASG120's fault. At another site about a week ago an ASG110 went live with no proxy there, all clients hitting the f/w uninterrupted (haven't gotten round to setting the proxy up yet). Once the proxy is set up I will post the results here to say if I start getting IPS notifications or not because currently I receive none from this device!
  • 0
    Sounds like you need to tune the IPS a bit for your environment. Under attack patterns, you can turn off notifications for categories of services and you can also turn off IPS rules for services that you don't use.  You can use the current IPS rules list to find the categories the rules your having problems with exist under, http://www.astaro.com/lists/.