Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2718 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mac printing causing IPS Rule Blocks

skydiver
I have a user printing from a MAC to ta sharp printer and every time he does, his printer hangs and I get Snort notifications of CRIT-852.

Rules triggered are:
15890
15888
15889

Any idea why these are causing problems?  Once his print queue hangs he is stuck until he reboots.


This thread was automatically locked due to age.
  • 0
    Create modifications for these rules in the advanced tab of the Intrusion Prevention section of WebAdmin to avoid these false positives.
  • 0 in reply to Scott_Klassen
    Already done this but this seems like a reoccurring issue, especially when a print driver querys snmp status on a printer across network segments.  i have eliminating these rules by way of exclusions but it is getting to be too common. 

    Why are these rules kicking off on what i am assuming are false positives?
  • 0
    Let's find out a little more about these rules then.
     
    Look in your IPS log and find instances of each rule being kicked off. For each, get the sid number. This is the snort rule number which can be used to make exeptions, but also to find out a little more info about a particular rule.
     
    Now that you have the SID, go to snortid.com and lookup each, which may give you a clue what's going on.
     
    If I had to make a guess, it's possible that the mac printer drivers have some sort of "phone home" functionality which would set off the IPS. HP has done that before with printer drivers to gather metrics about printer usage.
     
    The only way to reduce the number of false positives without using individual exceptions is to reduce the number of rules being used.  IPS isn't a "one size fits all" situations and will always require some amount of customization to fit your unique infrastructure.  For example, these rules, which are obviously bad for you, are great for me because I have no Apple lovin' at my site.
  • 0 in reply to Scott_Klassen
    This would be more a a feature request because I know the answer to this.

    It would be more beneficial if rather than a global rule exception, the exception could be made for only targeted devices.  It would make more sense to only create a rule exception when a specific targeted device seems to always create the false positive detection.

    It would also be helpful to have more fields for documenting the reason, the devices and cause for the creation of an exception rule than just a rule number when creating the exception in the IPS config.

    Anyone agree with this?
  • 0
    In that case, you'll want to go to Astaro Gateway Feature Requests and create a new feature request.  Since that site was created, feature requests made here are generally ignored by the powers that be.  Too difficult to keep track of here for the Astaro folks who hang out on the boards.
     
    If you post back the direct link to your request, once created, I'll slide you a vote.  [:)]
     
    IPS used to have a much more robust GUI in WebAdmin, but it was seriously dumbed-down due to system resource usage.
  • 0 in reply to Scott_Klassen
    FYI
    Here are the IPS logs entries for the events in question.  10.16.2.140 is my user and 10.10.2.200 is my printer. 

    2010:04:28-12:06:08 marg ulogd[3328]: id="2104" severity="info" sys="SecureNet" sub="ips" name="ICMP flood detected" action="ICMP flood" fwrule="60014" seq="0" initf="eth1" dstmac="00:1a:8c:15[:D]f:01" srcmac="00:1e:4c:18:ce:bb" srcip="128.242.114.243" dstip="67.79.17.221" proto="1" length="68" tos="0x00" prec="0x00" ttl="50" type="3" code="3" 

    2010:04:28-12:21:00 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1021" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:22:03 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1021" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:23:07 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1021" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:24:11 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1021" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:26:05 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:27:08 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:28:12 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:29:15 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:30:19 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:31:23 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:32:28 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:33:32 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

    2010:04:28-12:34:35 marg snort[1211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT SAPLPD 0x34 command buffer overflow attempt" group="232" srcip="10.16.2.140" dstip="10.10.2.200" proto="6" srcport="1020" dstport="515" sid="15891" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"
  • 0
    Instead of disabling rules, I use a source and destination exclusion for printers to get around this.

    Cheers - Bob
  • 0 in reply to BAlfson
    It would be nice to make the source/destination exclusions rule specific.  If you don't then you wind up opening up the target device to getting hacked...

    I guess the defense in layers approach requires a choice at this point.  I look forward to many more of these types of choices as I incrementally tighten up the security settings on our network.

    Thanks to all for the help.  I hope this helps others in the future as well.