Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2820 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Incoming SSL443 HTTPS traffic and IPS

MPSmith4258
Hi - I have a simple setup for my 'home' network. Simple Masquerading for outbound traffic from clients, and a ANY ANY ANY packet filter rule. Only one inbound NAT fule which is to allow DNAT of incoming 443 SSL to go through Astaro and be directed to my Small Business Server 2003 running Exchange 2003 for pda syncing etc. This all works fine except when IPS is enabled.
In which case the following alert comes up on the live log and stops access to my IIS server dead in its tracks. The following log extract is (probably) my PDA, via T-Mobile GPRS, going through my router and then through Astaro.

2007:03:15-12:37:59 (none) barnyard[31539]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-MISC SSLv2 openssl get shared ciphers overflow attempt" group="211" srcip="149.254.200.222" dstip="192.168.168.180" proto="6" srcport="26216" dstport="443" sid="8428" class="Attempted Administrator Privilege Gain" priority="1" generator="1" msgid="0"

Only actions so far = 1. disable IPS, in which case all ok. 2. add a  Manual rule modification for rule number 2101 (is this correct? ... I got it from the extract above) and disable this rule, but this does not seem to help.

Any clues anyone? Many thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Astaro version?

    V7 seems to have lots of problems with the IPS rules... search these forums for more info.

    Barry
  • 0 in reply to BarryG
    Barry, figured out the offending rule - the summary rule showed the 'top' rule violation ID and I used that so no problem now.

    In general, should I be using IPS? I've only got one port open, and all traffic has to go to IIS on my server and I use strong passwords. 

    Is IPS necessary in such a situation or is it useful even for responses tp traffic initiated from within my network.

    My question betrays my lack of general knowledge about what IPS is desgned to do!

    Thanks

    Would you recommend I go back to version 6? Although 7.002 seems more stable than 7.001 and 7.000 I'm not exactly over the moon about it's performance!
  • 0 in reply to MPSmith4258
    IPS is a good thing to have turned on...  they are like 3 year olds, though, they need to be nurtured, and can't be left alone!  Astaro makes management pretty easy, though.

    Unfortunately, SNORT (the program used to perform the IPS operations) can not scan inside of encrypted traffic (SSL)... but it can detect initial attack attempts (like buffer overflows) agains SSL servers, before the session is initiated.  To do this, Astaro would need to add a reverse proxy to the unit, which would decrypt the SSL traffic on the appliance itself, feed it through SNORT, then on to your IIS server--it is a feature I've asked for, but it is a somewhat complicated thing to do.
Reply
  • 0 in reply to MPSmith4258
    IPS is a good thing to have turned on...  they are like 3 year olds, though, they need to be nurtured, and can't be left alone!  Astaro makes management pretty easy, though.

    Unfortunately, SNORT (the program used to perform the IPS operations) can not scan inside of encrypted traffic (SSL)... but it can detect initial attack attempts (like buffer overflows) agains SSL servers, before the session is initiated.  To do this, Astaro would need to add a reverse proxy to the unit, which would decrypt the SSL traffic on the appliance itself, feed it through SNORT, then on to your IIS server--it is a feature I've asked for, but it is a somewhat complicated thing to do.
Children
No Data