Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2720 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mac printing causing IPS Rule Blocks

skydiver
I have a user printing from a MAC to ta sharp printer and every time he does, his printer hangs and I get Snort notifications of CRIT-852.

Rules triggered are:
15890
15888
15889

Any idea why these are causing problems?  Once his print queue hangs he is stuck until he reboots.


This thread was automatically locked due to age.
Parents
  • 0
    Let's find out a little more about these rules then.
     
    Look in your IPS log and find instances of each rule being kicked off. For each, get the sid number. This is the snort rule number which can be used to make exeptions, but also to find out a little more info about a particular rule.
     
    Now that you have the SID, go to snortid.com and lookup each, which may give you a clue what's going on.
     
    If I had to make a guess, it's possible that the mac printer drivers have some sort of "phone home" functionality which would set off the IPS. HP has done that before with printer drivers to gather metrics about printer usage.
     
    The only way to reduce the number of false positives without using individual exceptions is to reduce the number of rules being used.  IPS isn't a "one size fits all" situations and will always require some amount of customization to fit your unique infrastructure.  For example, these rules, which are obviously bad for you, are great for me because I have no Apple lovin' at my site.
  • 0 in reply to Scott_Klassen
    This would be more a a feature request because I know the answer to this.

    It would be more beneficial if rather than a global rule exception, the exception could be made for only targeted devices.  It would make more sense to only create a rule exception when a specific targeted device seems to always create the false positive detection.

    It would also be helpful to have more fields for documenting the reason, the devices and cause for the creation of an exception rule than just a rule number when creating the exception in the IPS config.

    Anyone agree with this?
Reply
  • 0 in reply to Scott_Klassen
    This would be more a a feature request because I know the answer to this.

    It would be more beneficial if rather than a global rule exception, the exception could be made for only targeted devices.  It would make more sense to only create a rule exception when a specific targeted device seems to always create the false positive detection.

    It would also be helpful to have more fields for documenting the reason, the devices and cause for the creation of an exception rule than just a rule number when creating the exception in the IPS config.

    Anyone agree with this?
Children
No Data