Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1837 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

new pattern for IPS breaks the connection to our Citrix Farm

MMU
The updates for the IPS pattern will be installed automatically. I got no chance to review the update.

Topology :
INTERNET -> CAG -> ASTARO ->** CTX FARM

** IPS is blocking the connection : ->

id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-MISC Content-Length request offset smuggling attempt" group="211" srcip="x.x.x.x" dstip="x.x.x.x" proto="6" srcport="12343" dstport="80" 

I called astaro -> we got to disable the rule -> sid:16218 

Regards
Michael


This thread was automatically locked due to age.
  • 0
    Yeah, Astaro needs to do a better job documenting Up2Dates and discuss how to address issues that people might have.  Those of us who participated in the beta got very good at checking the Intrusion Prevention log, disabling rules and creating exceptions.

    Thanks for sharing the solution.  I believe that yours is the first report of this particular situation.
  • 0 in reply to BAlfson
    Same problem here. Citrix Webinterface 4.6 and Secure Gateway 3x. Suddenly stopped working. Searching cause for hours. Webinterface or IIS broken? Couldn't even get it running locally (Call http://localhost). Checked communication with Citrix-Support, found no errors. Very strange.

    Finally got answer from Astaro Support to disable IPS Rules 2515 and 16218. Okay, did so and yes, running again. Question: why both rules??

    A very user-unfriendly behaviour. We have to do pattern installation now manually (and of course read and understand new-pattern-information before installing, but where and how can we get them?)
  • 0
    René, I believe this will be a one-time thing for you and that you shouldn't change your prior methods.  A complaint to Astaro is in order though, and I would urge you to send a nastygram concerning the lack of warning about the new, improved IPS ruleset.

    This is great software, but the lack of a warning was downright disrespectful.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have another take on it;  IPS systems inherently require a bit more management; there is no possible way for a vendor to test every single scenario and way it may be used or deployed, thus, you will occasionally have a false positive occur.  I'd rather have to weed out a few false positives for a few sites and have fuller protection overall.  I don't support globally disabling that rule, as it has value for sites that don't run / access citrix... it's a simple fix, in any event.
  • 0 in reply to BrucekConvergent
    Hi again,

    @BrucekConvergent
    there is no possible way for a vendor to test every single scenario

    I agree with you. 
    But there are several leading vendors which must be tested.
    IMHO one of them is Citrix?
    I'm going to post this thread at the citrix forum.

    @rene.ackle@erne.ch
    Searching cause for hours. 

    Same to me. I have searched for 4 hours. 
    The IPS was the last of which I had thought.

    The problem for me is that I still have found no information regarding this issue from Astaro.

    @BAlfson
    This is great software, but the lack of a warning was downright disrespectful.

    You right ! 

    Michael