Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4092 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Printing across VLANS triggering IPS Rules

skydiver
I am running Astaro 7.501.  On ETH0 I have 5 VLAN's grouped together into a network group.  This network group is assigend as the protected networks in the IPS definitions.

Prior to upgrading to 7.501, I had no issues printing from a Windows XP computer on 1 VLAN to a Brother Network printer located on another VLAN (in the internal networks group).  Since 7.501 upgrade, I cannot print across the VLAN with IPS enabled.  I deactivated the drop rules and enabled logging only and here is what SNORT is reporting: 
2009:11:03-13:46:54 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:37 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="ICMP L3retriever Ping" group="420" srcip="10.19.11.100" dstip="10.10.11.122" proto="1" srcport="0" dstport="0" sid="466" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0" 


The workstation PC is 10.19.11.100 and the printer is 10.10.11.200.  I attempted to create an exclude rule between these two devices in the IPS exclusions tab but had no luck.  I would also rather not completely disable IPS on this subnet for compliance reasons.  I have another site with the same setup but have not had this problem.

My questions are:
What rule is being triggered?
Is this a rule that needs to be adjusted or fixed (is this an error in 7.501)?
Is there a possibility that I may have an infection on the PC in question?

If I need to provide additional information please let me know


This thread was automatically locked due to age.
  • 0
    sid="1411" and sid="3442"

    But, maybe it's just a question of IPS configuration instead off a need to disable those two rules...

    Are 10.19.11.0/24 and 10.10.11.0/24 in 'Local networks' on the 'Global' tab?  The way IPS Exceptions work, you can simply make a 'Source exclusion' for both networks as a Source.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I have a network group called "Internal Networks" and both of these networks are in that group.  I would rather not source exclude the two entire network segments, if I do this then I will not be able to detect true malware activity.  

    For troubleshooting, I tried to just do a source exclusion of the two device addresses and excluded checks for all rulesets but this didn't seem to work.  I will have to attempt it again.

    Where can I find the rules defined by sid="1411" and sid="3442" to examine what they are detecting and whether I can just tweak them instead of carving them out completely from the IPS ruleset?  I am also still trying to determine if I have reason to be concerned about this detection.  Anyone know what these two rules are designed to detect?
  • 0 in reply to BarryG
    What happened to the link to the entire Astaro IPS rules and groups that you originally posted?  It has links to the SNORT ID site on that page but it was nice to have the entire listing as they are grouped.

    I can't tell yet whether this is an error due to a poorly written printer driver yet, so until i can determine why I am getting the error I need to continue to log it.  I am running the WHQL print driver so I don't know why this is coming up unless I am infected.  Any suggestions?
  • 0 in reply to BarryG
    When you click on the more info... link in the individual rules, it takes you to the snort lookup site.

    I am still wondering what is causing this error to happen in the first place.  Anyone have any thoughts?
  • 0
    It looks like it's just harmless SNMP with your laser printer.  You could write an exception for traffic with the printer in Source and Destination (the logic in an IPS Exception is "or" and not "and").

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    That's what I saw... I was just confused as to why a print driver would snmp to a printer while printing.
  • 0
    Lots of printer drivers do checks to see what kind of paper the printer thinks is loaded, etc.

    Barry
Cookie Information Banner