Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I'm going nuts . . .

BigO
The subject should say it all.

Long story short - I was having issues with my ASG box so I decided, after many attempts to fix the problem, to rebuild the box from scratch.
That went fine and all that was not working now is working again; with the exception of IPS. That is working worse!
ASG version 6.304 by the way.

Every half hour I am getting multiple emails about anomaly detections (about one hundred events being reported each half hour). 
No matter what I have tried I cannot stop these emails from spamming me. 

The subject of the emails are:
[WARN-854] Anomaly Intrusion Protection Alert     and
[WARN-855] Anomaly Intrusion Protection Alert - Event buffering activated

The data is:
2007:04:09-04:49:36  Anomaly      A       Non-live dest used: local dest, udp: 1.0000  UDP .1:32775 -> 203.10.1.9:53
2007:04:09-04:49:36  Anomaly      A       Non-live dest used: local dest, udp: 1.0000  UDP .1:32775 -> 203.21.20.20:53

I have searched the forums – found some info on this but all that was suggested is that DNS servers be defined so that Root DNS servers are not used.


This is what I have done so far:

Proxies > DNS
Interfaces to listen on: Internal
Allowed Networks:  Internal (Network)
Forwarding Name Servers > 203.10.1.9 & 203.21.20.20
( by the way – these are the addresses that are being reported as the anomaly event! )


Intrusion Protection > Settings

Global Settings > Local Networks > Internal (Network)
Anomaly Detection > Enabled
Notification Levels > Disabled (initially just disabled Notify on Anomaly Events but this had no affect)

Intrusion Protection > Advanced

IPS Network Exclusions
External (Address) -> DNS Server (primary)
External (Address) -> DNS Server (secondary)

The primary and secondary definitions are defined in Networks as the above DNS Server IP addresses.


Although I was experiencing issues prior to the rebuild, IPS was not one of them and I had the same DNS Server settings defined and anomaly detection was turned on.

Nothing that I do stops the emails. This is driving me nuts.
Someone please tell me what I can do to resolve this issue.


This thread was automatically locked due to age.
Parents
  • 0
    I don't think your exclusions are right.

    Try ANY to DNS servers, instead of the external IP.

    You might also want to try DNS servers to ANY.

    Barry
  • 0 in reply to BarryG
    If only it were that simple . . .

    I did as you suggested Barry, first just changing the External (Address) to Any and then, when that did not work, added two new exclusions of DNS servers to ANY.
    To make sure everything reloaded I also restarted the ASG box. Alas the spam continues.

    This is a similar issue to that which led me to rebuild the box in the first place. What seems logical is not and changes that you make seem to have no affect.
    The reason I rebuilt the box in the first place was because the ASG lost all of its abilities to ping anything across its interfaces or to ping out of the ASG itself. I built a new box on identical hardware with different NICS using nearly all of the same configurations.
    This approach, although time consuming, did bring back all the ping capabilities but now I have this spam problem.
    In my previous ASG configuration I had the same DSN servers configured and I did not have any IPS exclusions defined. I received no DNS anomaly spam emails then, but I do now.
    This is not logical at all and I have no idea how to resolve the problem. Nothing that I do seems to have any affect. 
    Again, logically, I would have thought that if the "Notify on Anomaly Events" option was not enabled no emails would be sent at all. That is obviously not the case. Begs the question; what does that option do?

    Anyway, enough drivel for now. 
    Any other suggestions on how I can keep what little hair I have left and stop this spam from happening?
  • 0 in reply to BigO
    It's like bloody terminator spam. No matter what you do it keeps coming!

    I have removed the two DSN server entries, disabled the DNS proxy, totally disabled IPS, rebooted the ASG many times and yet these bloody anomaly spam emails keep coming every 30 minutes. This equates to about 200 useless firewall messages every day.

    Nothing that I do has any effect on this totally useless reporting.

    What the hell do I have to do to stop this rubbish?
    This has gone way past an annoyance.
  • 0 in reply to BigO
    Overview, you have a problem.

    You have tried some suggestions even re-building the box, but you have installed an old configuration each time.
    To me there appears to be other problems which are showing up as errors in the IPS area.
    I suspect you need to review you NAT and Packet filter rules to ensure you don't have a loop or and any any rule or maybe your internal DNS box is pointing at the wrong interface.

    To be generating that amount of errors more than likely means a misconfig somewhere.

    Ian M
Reply
  • 0 in reply to BigO
    Overview, you have a problem.

    You have tried some suggestions even re-building the box, but you have installed an old configuration each time.
    To me there appears to be other problems which are showing up as errors in the IPS area.
    I suspect you need to review you NAT and Packet filter rules to ensure you don't have a loop or and any any rule or maybe your internal DNS box is pointing at the wrong interface.

    To be generating that amount of errors more than likely means a misconfig somewhere.

    Ian M
Children
  • 0 in reply to RFCat_vk_01
    To clarify:

    I am using the same configuration settings I was using previously but I did not import a backup config, I entered all of the settings manually into the new box.
    This problem did not exist prior to rebuilding the box.
    The DNAT and MASQ settings are the same now as they have been for the past five years (starting from ASL v3) and the PF rules are the same now as prior to the rebuild when there was not this problem.
    There have been no changes made on my domain controller (Windows 2003 SP2 Server). 
    All that I changed in my environment was to rebuild the ASG box and that should not really be considered a change given that I maintained the same configs.
    When I originally stated that the new config was basically the same as the old one I should specify that I did a bit of cleanup in the new build, not entering settings that were no longer used (stuff that used to exist on my ETH3 etc). All core rules/settings were duplicated from old to new.

    What I cannot explain (or understand):
    Why when I totally disable the IPS system  and DNS Proxy does ASG still send email notifications.
    Even if, as you say, there is a problem with my config (something that I do not believe is the case) why do the emails continue when everything associated with anomaly detection and DNS has been disabled?

    I am not new to Astaro, having used the system since 2002.
    Even if there were a major config problem, disabling the features should stop the emails. Am I wrong here?
  • 0 in reply to BigO
    The IPS still runs if you have IM or P2P security enabled.
    I'm not sure about the VOIP security.

    Barry
  • 0 in reply to BarryG
    I don't use IM or P2P, hence I have no rules set for these.
    The question is still the same; if you disable the IPS and DSN proxy why does the ASG continue to send email notifications of anomaly events that are, or should not be, there?
    Is there a file I can hack to kill this spam? I'm not big on Linux or using VI but I know enough to be dangerous.  [:)]
  • 0 in reply to BigO
    Come on . . . .
    Surely there is someone out there that can help me eliminate this spam.
  • 0 in reply to BigO
    I don't use IM or P2P, hence I have no rules set for these.


    Is the IM and P2P security turned off completely?

    Barry
  • 0 in reply to BarryG
    After two days of doing nothing, and no ASG rule changes, my spam problem has just gone away.   [:)]

    Today I found, for the first time in over a week, that there were not two hundered ASG messages to delete from my mailbox. Don't ask me why but they just stopped coming.
    Because I am one who likes to tempt fate, I added back the two DNS server entries and re-enabled the DNS proxy. I also re-enabled the IPS and still no spam came.
    The ASG is now working as it should but I have absolutely no understanding of why I could not stop the spam in the first place or why it just decided to right itself after two days of simply leaving it alone. I am very confused.

    Bizarre does not start to describe this last week.