Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4084 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Printing across VLANS triggering IPS Rules

skydiver
I am running Astaro 7.501.  On ETH0 I have 5 VLAN's grouped together into a network group.  This network group is assigend as the protected networks in the IPS definitions.

Prior to upgrading to 7.501, I had no issues printing from a Windows XP computer on 1 VLAN to a Brother Network printer located on another VLAN (in the internal networks group).  Since 7.501 upgrade, I cannot print across the VLAN with IPS enabled.  I deactivated the drop rules and enabled logging only and here is what SNORT is reporting: 
2009:11:03-13:46:54 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:37 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="ICMP L3retriever Ping" group="420" srcip="10.19.11.100" dstip="10.10.11.122" proto="1" srcport="0" dstport="0" sid="466" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3111" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:49:41 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="DOS WIN32 TCP print service overflow attempt" group="520" srcip="10.19.11.100" dstip="10.10.11.200" proto="6" srcport="3131" dstport="515" sid="3442" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0"

2009:11:03-13:50:03 marg-sp snort[20525]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SNMP public access udp" group="246" srcip="10.19.11.100" dstip="10.10.11.200" proto="17" srcport="1062" dstport="161" sid="1411" class="Attempted Information Leak" priority="2" generator="1" msgid="0" 


The workstation PC is 10.19.11.100 and the printer is 10.10.11.200.  I attempted to create an exclude rule between these two devices in the IPS exclusions tab but had no luck.  I would also rather not completely disable IPS on this subnet for compliance reasons.  I have another site with the same setup but have not had this problem.

My questions are:
What rule is being triggered?
Is this a rule that needs to be adjusted or fixed (is this an error in 7.501)?
Is there a possibility that I may have an infection on the PC in question?

If I need to provide additional information please let me know


This thread was automatically locked due to age.
Parents
  • 0
    It looks like it's just harmless SNMP with your laser printer.  You could write an exception for traffic with the printer in Source and Destination (the logic in an IPS Exception is "or" and not "and").

    Cheers - Bob
Reply
  • 0
    It looks like it's just harmless SNMP with your laser printer.  You could write an exception for traffic with the printer in Source and Destination (the logic in an IPS Exception is "or" and not "and").

    Cheers - Bob
Children