Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2667 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS zone transfert alerts coming from H2H connection

StephaneGROBETY
Hello everyone,

I'm having an issue that I'm not sure how to get rid off.

We have a branch office that is connected via host-to-host VPN. On that branch office, we have a couple of Windows AD servers that also have the DNS role installed.

The trouble is that the server at the remote branch is prevented by astaro from requesting a full zone transfer with the following altert:

Message........: DNS TCP inverse query overflow
Details........: Snort - the de facto standard for intrusion detection/prevention
Time...........: 2009:01:12-16:15:25
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Attempted Administrator Privilege Gain IP protocol....: 6 (TCP)

I have disabled that rule in the firewall, but I'd like to keep it active for the "regular" external zone.

I tried to add the server in the "DNS servers" in the "advanced" tab of the IPS configuration page but to no avail.

Is there a way to disable that specific alter and rule just for a few specific hosts ?


Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Fulgan, the entries in the boxes on the Advanced tab is insufficient.  You will need an entry on the 'Exceptions' tab.  But, if you don't already have the VPN IP (you're using site-to-site, right?) in 'Local Networks' on the 'Global' tab, try adding that first.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you for answering.

    I'm really sorry: my brain must have had a short: I was talking about site-to-site, of course.

    My problem is that I want to keep the IPS and IDS working in between these two sites: our branch office is located on a foreign country and, while I trust the people there, I can't say the same about their network environment. I'm limiting the connections to the minimum required and the IDS/IPS system is, I think necessary.

    So, if I add the remote network to the "local networks" list, won't I disable IPS for that network as a whole ?

    Thanks
  • 0 in reply to StephaneGROBETY
    Agreed.  That sounds like healthy policy.  Yes, just use IPS Exceptions.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks again, bob, for answering my questions.

    I think that I'm missing something: As far as I can see, I can created IPS exceptions for these specific servers but there is no way to disable only the TCP zone transfer between my main network servers and the remote branch. I can disable the whole IPS but then wouldn't that be the same as puttng the server in the "local networks" list ?

    Another quick question regarding exceptions: do I understand correctly that I can't create a strict source AND destination rule ? If I check both source and destination, it's treated as an OR clause ?

    Thank you again
  • 0 in reply to StephaneGROBETY
    Your understanding conforms to my own, however, the point of the IPS is not to block specific traffic, it's to look at allowed traffic and check it for attacks.

    If you want to block traffic between specific sources and destinations, for example, I'd add a packet filter drop rule.  However, if you presently have a rule like 'VPN -> LAN : Any : Allow', you might also want to open fewer service ports.

    Cheers - Bob
  • 0 in reply to BAlfson
    Well, the point of IPS is to block attacks. In my case, it's the deep packet insepction that flags TCP-base DNS zone transfer requests from the DNS server of one AD domain to the other AD domain as being attacks and blocking them.

    I don't want to block that traffic or, at least, I don't want to block it between known AD DNS servers.

    What I would like is to keep the rule active but have it only triggered if it comes from a source that is not supposed to be able to do that. Normally, the DNS server configuration and the layer 3 firewalling should take care of all other traffic of that kind but the whole idea of having an IDS/IPS is that, if the OTHER security layers fails (and since we're all human in the IT staff, we do make configuration errors from time to time), at least we'll be warned of the issue.

    That being said, if there is no way to do this "correctly" (or the way I'd like it done), I'll disable that rule alltogether - assuming the exclusion works, now.

    Thank you again for your answer
Reply
  • 0 in reply to BAlfson
    Well, the point of IPS is to block attacks. In my case, it's the deep packet insepction that flags TCP-base DNS zone transfer requests from the DNS server of one AD domain to the other AD domain as being attacks and blocking them.

    I don't want to block that traffic or, at least, I don't want to block it between known AD DNS servers.

    What I would like is to keep the rule active but have it only triggered if it comes from a source that is not supposed to be able to do that. Normally, the DNS server configuration and the layer 3 firewalling should take care of all other traffic of that kind but the whole idea of having an IDS/IPS is that, if the OTHER security layers fails (and since we're all human in the IT staff, we do make configuration errors from time to time), at least we'll be warned of the issue.

    That being said, if there is no way to do this "correctly" (or the way I'd like it done), I'll disable that rule alltogether - assuming the exclusion works, now.

    Thank you again for your answer
Children
  • 0 in reply to StephaneGROBETY
    In earlier versions of the Astaro, it was possible to add a snort rule, but, AFAIK, that capability does not exist at present.  Your only options are to disable the rule on the 'Advanced' tab or create an 'Exception' for the remote DNS server.

    Cheers - Bob
    PS If you have other problems from that server, you could ask them to allocate a unique IP for the DNS service so that it's the only thing excepted.
  • 0 in reply to BAlfson
    Thanks. I used to change and update the Astaro snort rules in V5.0 and I regret that option was removed.

    And no: i can't change the DNS IP: Windows DCs really, really don't like to be multihomed. I'd have to move DNS to a different box alltogether.

    Oh well: I've disabled the rule in the advanced tab.