Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1839 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

new pattern for IPS breaks the connection to our Citrix Farm

MMU
The updates for the IPS pattern will be installed automatically. I got no chance to review the update.

Topology :
INTERNET -> CAG -> ASTARO ->** CTX FARM

** IPS is blocking the connection : ->

id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-MISC Content-Length request offset smuggling attempt" group="211" srcip="x.x.x.x" dstip="x.x.x.x" proto="6" srcport="12343" dstport="80" 

I called astaro -> we got to disable the rule -> sid:16218 

Regards
Michael


This thread was automatically locked due to age.
Parents
  • 0
    René, I believe this will be a one-time thing for you and that you shouldn't change your prior methods.  A complaint to Astaro is in order though, and I would urge you to send a nastygram concerning the lack of warning about the new, improved IPS ruleset.

    This is great software, but the lack of a warning was downright disrespectful.

    Cheers - Bob
Reply
  • 0
    René, I believe this will be a one-time thing for you and that you shouldn't change your prior methods.  A complaint to Astaro is in order though, and I would urge you to send a nastygram concerning the lack of warning about the new, improved IPS ruleset.

    This is great software, but the lack of a warning was downright disrespectful.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    I have another take on it;  IPS systems inherently require a bit more management; there is no possible way for a vendor to test every single scenario and way it may be used or deployed, thus, you will occasionally have a false positive occur.  I'd rather have to weed out a few false positives for a few sites and have fuller protection overall.  I don't support globally disabling that rule, as it has value for sites that don't run / access citrix... it's a simple fix, in any event.
  • 0 in reply to BrucekConvergent
    Hi again,

    @BrucekConvergent
    there is no possible way for a vendor to test every single scenario

    I agree with you. 
    But there are several leading vendors which must be tested.
    IMHO one of them is Citrix?
    I'm going to post this thread at the citrix forum.

    @rene.ackle@erne.ch
    Searching cause for hours. 

    Same to me. I have searched for 4 hours. 
    The IPS was the last of which I had thought.

    The problem for me is that I still have found no information regarding this issue from Astaro.

    @BAlfson
    This is great software, but the lack of a warning was downright disrespectful.

    You right ! 

    Michael