Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

possibly security hole in IDS ASL

StefanS_01
Hi all,

I for a long time considered, whether i am to start a new Thread, but me is the topic too importantly as it under the old Thread further to discuss.


old Thread:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34645

At present the current IDS version have problems with packages  to really drop, or violations of rules are not recognized.

Looks here:

The following of two examples from this morning.

first example:
Although the rule "WEB-IIS ISAPI .ida attempt"  is active (drop) and became closed according to log file, an additional Snort sensor sees  into the DMZ the same violation of rules.

second example:
Although the "WEB-IIS cmd.exe" access   is active (drop), this violation of rules of the IDS was not recognized, however the Snort sensor in the DMZ was seen this violation of rules.
I observed this already several times.

The IDS ASL log files in addition:

2005:03:03-00:14:55 (none) snort[15134]: [1:485:0] A ICMP Destination Unreachable Communication Administratively Prohibited [Classification: Misc activity] [Priority: 3]:  {PROTO001} 213.200.76.38 -> 217.6.34.2
2005:03:03-07:48:42 (none) snort[15134]: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER  {PROTO006} 192.168.100.18:45248 -> 207.188.24.150:80
2005:03:03-07:48:43 (none) snort[15134]: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB)  {PROTO006} 192.168.100.18:45248 -> 207.188.24.150:80
2005:03:03-07:50:31 (none) snort[15134]: [1:2925:0] A INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 212.172.60.154:80 -> 192.168.100.18:45276
2005:03:03-07:50:42 (none) snort[15134]: [1:2925:0] A INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 193.45.14.169:80 -> 192.168.100.18:45253
2005:03:03-07:55:59 (none) snort[15134]: [1:1243:0] D WEB-IIS ISAPI .ida attempt [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:55:59 (none) snort[15134]: [119:3:1] (http_inspect) U ENCODING  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:55:59 (none) snort[15134]: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:56:02 (none) snort[15134]: [119:3:1] (http_inspect) U ENCODING  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:56:02 (none) snort[15134]: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:56:03 (none) snort[15134]: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-07:56:03 (none) snort[15134]: [119:15:1] (http_inspect) OVERSIZE REQUEST-URI DIRECTORY  {PROTO006} 221.7.71.222:3119 -> 192.168.100.25:80
2005:03:03-08:02:58 (none) snort[15134]: [1:2925:0] A INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 217.110.202.150:80 -> 192.168.100.18:45919
2005:03:03-08:03:09 (none) snort[15134]: [1:2925:0] A INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 217.110.202.134:80 -> 192.168.100.18:46021
2005:03:03-08:04:30 (none) snort[15134]: [119:7:1] (http_inspect) IIS UNICODE CODEPOINT ENCODING  {PROTO006} 192.168.100.18:46124 -> 63.240.28.62:80
2005:03:03-08:05:42 (none) snort[15134]: [119:3:1] (http_inspect) U ENCODING  {PROTO006} 192.168.100.18:46168 -> 63.240.28.58:80

That sees the Snort sensor in the DMZ:

#112-(4-71453)[snort] (http_inspect) NON-RFC DEFINED CHAR 2005-03-03 07:55:39 221.7.71.222:3119 192.168.100.25:80 TCP
#113-(4-71452)[snort] WEB-IIS cmd.exe access 2005-03-03 07:55:39 221.7.71.222:3119 192.168.100.25:80 TCP
#114-(4-71451)[snort] (http_inspect) NON-RFC HTTP DELIMITER 2005-03-03 07:55:38  221.7.71.222:3119 192.168.100.25:80 TCP
#115-(4-71450)[cve][icat][bugtraq][arachNIDS][snort] WEB-IIS ISAPI .ida access 2005-03-03 07:55:38 221.7.71.222:3119 192.168.100.25:80 TCP
#116-(4-71449)[cve][icat][bugtraq][arachNIDS][snort] WEB-IIS ISAPI .ida attempt 2005-03-03 07:55:38 221.7.71.222:3119 192.168.100.25:80 TCP
     

Stefan



Info.:
The support of Astaro is informed. They look for the error.


PS:
I love Astaro since the version 2.x, in addition they make a very good Firewall.
However with the IDS is a little too buggy  


This thread was automatically locked due to age.
Parents
  • 0
    Hi all,

    short status to the problem.
    The same problem gives it also on a certified ASG.
    Thus it is a respectable Bug !

    Astaro searches still.

    Stefan
  • 0 in reply to StefanS_01
    Specifying a bug should be more accurate.
    /bagira
  • 0 in reply to bagira
    Hi bagira

    Ich denke ich habe das schon ausführlich erklärt.
    Das IPS in der 5er Version arbeitet zumindest bei mir nicht zuverlässig.
    Es lässt Angriffe zu obwohl diese auf Drop stehen, oder erkennt bestimmte Angriffe nicht.
    Der Support von Astaro hat mir selbst dieses Verhalten bestätigt.
    Dieses Problem erscheint bei der Software ASL, als auch bei der zertifizierten ASG.
    Was soll ich denn als Nutzer von solch einem Problem halten ?
    Ebenfalls habe ich schon mehrmals die Verkabelung kontrolliert, ohne Fehler.
    Ebenfalls wurde von Support Astaro bestätigt das die Konfiguration der Firewall korrekt ist.
    Das schwierige dabei ist, dass man dieses Problem nicht reproduzieren kann.

    Ich hoffe das es mit der 6er Version besser wird.

    Stefan

    #-#-#-

    I think I explained that already fully.
    That IPS in the 5th version works at least with me not reliable.
    It approves attacks although these are on drops, or does not recognize certain attacks.
    The support of Astaro confirmed me myself this behavior.
    Also was confirmed by Support Astaro that the configuration of the Firewall is correct.
    This problem appears with the software ASL, than also at the certified ASG.
    What am I supposed to consider as a user of such a problem ?
    Also i controlled the network cables already repeatedly, without mistakes.
    The difficult one is, that one can not reproduce this problem.

    I hopes that it becomes with the 6th version better.

    Stefan
  • 0 in reply to StefanS_01
    Hi,

    as far I can see, you make DNAT/SNAT from external to your internal web-server. I guess you have configured you internal networks and server in the IPS Settings and Advanced Settings. 

    NAT can have some strange effecst on Snort INLINE IDS. We had a similar effect on a Firewall (Debian) with snort inline.

    Chris

    Chris
  • 0 in reply to NimmdirKeks
    Hi Chris,

    >as far I can see, you make DNAT/SNAT from external to your internal web-server.
    Here it gives some of it.

    I have the confirmation that it is clearly a Astaro problem.
    It concerns all versions (5.x + 6.x) of ASL.

    Stefan
Reply Children
  • 0 in reply to StefanS_01
    Hi,
    for the described Bug gives it a fix in the Up2Date 5.205
    "ID2787 Snort may fail to block traffic on web server"
    It is contained also in the version 6.

    Unfortunately there is a new Bug (never endings story)   .
    Although in the IPS the rule "WEB-MISC PCT Client_Hello overflow attempt"
    stands on drop, it is not stopped.
    The IPS does not see this violation of rules.

    I can supply proofs if desired.

    Stefan