Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2072 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BuG in Intrusion Detection: 5.004

PaulHieb
While syslogging IDS data and using HTTP proxy, I've noticed a lot of these messages:

Apr 30 17:45:45 10.6.1.254 2004:04:30-17:43:36  snort[17543]: [1:1432:0] D P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 10.6.1.1:15817 -> 10.6.1.254:8080 
Apr 30 17:45:48 10.6.1.254 2004:04:30-17:43:39  snort[17543]: [1:1432:0] D P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 10.6.1.1:15817 -> 10.6.1.254:8080 
Apr 30 17:45:55 10.6.1.254 2004:04:30-17:43:45  snort[17543]: [1:1432:0] D P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 10.6.1.1:15817 -> 10.6.1.254:8080 
Apr 30 17:46:07 10.6.1.254 2004:04:30-17:43:57  snort[17543]: [1:1432:0] D P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 10.6.1.1:15817 -> 10.6.1.254:8080 
Apr 30 17:46:31 10.6.1.254 2004:04:30-17:44:21  snort[17543]: [1:1432:0] D P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 10.6.1.1:15817 -> 10.6.1.254:8080 

So I go turn on blocking for that rule and all of the sudden (Suprise, Suprise) the http proxy stops working.


This thread was automatically locked due to age.
Parents
  • 0
    that is because in the rules there is a filter for basically all http traffic.  It is impossible at the http level to distinguish p2p form regular http traffic.  in the ips area turn on the p2p rule..click the folder icon there should be one rule that is not marked drop..i do not have my v5 hdd up right now and cannot do it until tomorrow at the earliest..[:(]
  • 0 in reply to William Warren
    I'm having this same problem, thousands of hits for that p2p gnutella thingy :

    [1:1432:0] A P2P GNUTella GET [Classification: Potential Corporate Privacy Violation] [Priority: 1]:  {PROTO006} 192.168.2.20:3016 -> 192.168.2.100:8080

    when i go in to the IPS rules area, under the p2p section there are lots of rules which have an icon that seems to mean 'allow but notify' if i click on that icon, it changes what looks like it would mean 'drop' (arrow curved down with red), should i change it to have that icon?

    can you help me understand what this notificaiton means? is it really some p2p outhere trying to access my machine? the notification seems to me to read that it's coming from my network and not from outside? help! i'm ignorant!

    thanks
  • 0 in reply to Atrius
    It would appear that this traffic is being generated by your internal clients and Snort is detecting the attemped outbound connection. This P2P rule triggers on a GET command on a port other than 80. If you're using a browser on a port other than 80 it will trigger this rule.
    Check out the snort web site and search on sid=1432. Check out the False Positives area.
  • 0 in reply to JimmyM
    I'm getting a lot of these false positives, and when I traced it back, it seems that at least some of the alerts were generated by the user using streaming radio.
  • 0 in reply to Manctastic
    hmm ... i'm certain it's not streaming audio ... how can i determine what port my web browser is using? i use both IE and Firefox.  it appears, from my rudimentary testing, that if i use either browser the numbers go up ... (at the moment i'm doing transparent proxy) if is set Firefox to use a proxy, even though the server is transparent, and set it to use port 80, that seems to stop the P2P stuff with IDS ... does that sound right?

    i also downloaded spybot and ran it, just to make certain, and it did not detect any spyware and there are no p2p softwares installed.

    ideas?
  • 0 in reply to Atrius
    Unfortunately the "GNUTella GET" rule produces too many false positives. It recognizes regular HTTP requests as GNUTella traffic. My suggestion is to disable the rule altogether. For this, go to the IPS rules, enter the "p2p" group and disable the "GNUTella GET" rule with the first icon from the left.

    Regards,
    Stephan
  • 0 in reply to Stephan_Scholz
    The "Gnutella GET" rule is triggered by the GET command on ports OTHER than 80. Unless ASL has tweaked their rules to detect traffic on port 80 as well. That would make this rule an HTTP GET rule and be triggered all the time while surfing. This would be crazy.

    Look up SID-1432 on www.snort.org
Reply
  • 0 in reply to Stephan_Scholz
    The "Gnutella GET" rule is triggered by the GET command on ports OTHER than 80. Unless ASL has tweaked their rules to detect traffic on port 80 as well. That would make this rule an HTTP GET rule and be triggered all the time while surfing. This would be crazy.

    Look up SID-1432 on www.snort.org
Children
  • 0 in reply to JimmyM
    If this is really how this rule is implemented (HTTP get on anything other than 80) than this explains the problem. In which case don't attempt to use the HTTP proxy feature of astaro in conjunction with this rule (I've, as suggested, disable this IPS rule, as I must have HTTP proxy working).

    This has to be the problem, as even the transparent proxy uses a client traffic redirect from client:80 to asl:8080 in order to grab all outbound and proxy.

    On a side note, I am no longer able to proxy from internal clients to internal web servers using astaro.

    e.g. > internal and external DNS for foobar.com = public IP 123.456.789.1 - held by astaro FW.
    DNAT rule says Any > Outside (Address) > HTTP - DNAT to internal server 10.10.10.1

    Then internal clients use Standard IE based http proxy to internal IP of FW to load web pages through the firewall. I've used this scenario successfully in 3.x and 4.x to consolidate internal and exteral servers into the same server.