Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1842 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

new pattern for IPS breaks the connection to our Citrix Farm

MMU
The updates for the IPS pattern will be installed automatically. I got no chance to review the update.

Topology :
INTERNET -> CAG -> ASTARO ->** CTX FARM

** IPS is blocking the connection : ->

id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-MISC Content-Length request offset smuggling attempt" group="211" srcip="x.x.x.x" dstip="x.x.x.x" proto="6" srcport="12343" dstport="80" 

I called astaro -> we got to disable the rule -> sid:16218 

Regards
Michael


This thread was automatically locked due to age.
Parents
  • 0
    Yeah, Astaro needs to do a better job documenting Up2Dates and discuss how to address issues that people might have.  Those of us who participated in the beta got very good at checking the Intrusion Prevention log, disabling rules and creating exceptions.

    Thanks for sharing the solution.  I believe that yours is the first report of this particular situation.
Reply
  • 0
    Yeah, Astaro needs to do a better job documenting Up2Dates and discuss how to address issues that people might have.  Those of us who participated in the beta got very good at checking the Intrusion Prevention log, disabling rules and creating exceptions.

    Thanks for sharing the solution.  I believe that yours is the first report of this particular situation.
Children
  • 0 in reply to BAlfson
    Same problem here. Citrix Webinterface 4.6 and Secure Gateway 3x. Suddenly stopped working. Searching cause for hours. Webinterface or IIS broken? Couldn't even get it running locally (Call http://localhost). Checked communication with Citrix-Support, found no errors. Very strange.

    Finally got answer from Astaro Support to disable IPS Rules 2515 and 16218. Okay, did so and yes, running again. Question: why both rules??

    A very user-unfriendly behaviour. We have to do pattern installation now manually (and of course read and understand new-pattern-information before installing, but where and how can we get them?)