Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 41482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS pattern up2date crashes intrusion prevention system

andyk007
At the moment, we experience problems with two IPS patterns that were uploaded to our gateways last night.

Status update and instructions how to fix it:

- a new, fixed  IPS pattern version is on all Up2Date servers

- currently we see that the affected machines are not able to fetch this new IPS pattern update

- please fix the issue by login the WebAdmin via https://YOUR_ASG_IP:4444

- go to left menu item “Network Security”

- go to sub menu item “Intrusion Prevention”

- go to the last tab “Advanced”

- click on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 15851 and check “Disable this rule”

- click “Save”

- click again on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 16576 and check “Disable this rule”

- click “Save”


This will remove the broken rules but IPS is still activated.

The new pattern update will be installed within minutes.

Please do NOT deactivate IPS, because then the new IPS rules will not be fetched and installed.



Mit freundlichen Grüßen / Kind regards,

Astaro Technical Support Team


This thread was automatically locked due to age.
  • 0
    @Krycek: update will be fetched automatically within 15 minutes. As soon as you see pattern version  12405 the updated pattern has been applied.

    Update: sorry, I was thinking under the assumption that you've already enabled the IPS fix by disabling the 2 rules that cause this problem. 15851 + 16576. Can happen that you are - if they are not disabled - not able to fetch the new rules....
  • 0 in reply to christianlouis
    I could access about 80% of all ASGs remote and fix it.

    Whats the deal with the ACC? All ASGs are disconected, even rebooted the ACC.
  • 0
    The actual error I saw..and I hope and it was bypassed with the 2 rules mentioned above being disabled:
    "
    2010:05:07-17:44:42 ******xx snort[5148]: FATAL ERROR: Warning: /etc/snort/rules/astaro.rules(1132) => Unknown keyword ' detection_filter' in rule!
    "

    Is this the issue that has been corrected?

    ...and it will it auto update to this version?
  • 0
    FATAL ERROR: Warning: /etc/snort/rules/astaro.rules(4748) => Unknown keyword ' detection_filter' in rule!

    Still has not auto corrected?
  • 0 in reply to R1Bandit
    Just finished dealing with being bit with this issue. Can confirm the fix works across all our ASGs.

    Now its just after 2 AM and pondering these thoughts...

    1. We pay Astaro to be the trusted provider of updates. ASGs are marketed as a trusted service. Not feeling very trustworthy towards Astaro right now.

    2. If Astaro is not capable of delivering the service side of the equation, what are the alternatives for staging updates internally to test and rollout? (Astaro, I'm looking for you to answer here.)

    I'm off to get some sleep before dealing with the fallout in the morning.