Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 862 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.506] Disable 2 IDS rules?

krbc
We *finally* discovered why 2 government websites won't load.  Disabling the rules, allows the pages to load correctly.  We need to come up with a solution - since these pages are used often.

13974 - WEB-CLIENT Internet Explorer XHTML element memory corruption attempt

4152 - WEB-ACTIVEX Windows Media Player 6.4 ActiveX Object Access

Since we don't have the granularity to open them up, just for the 2 problematic IP addresses (and don't know if the other IP addresses are being blocked correctly), how much of a risk might I have, if I disable these rules?


This thread was automatically locked due to age.
Parents
  • 0
    Did this start happening just recently?  If it's a result of a recent pattern update, then there's a decent liklihood that the rule(s) will be fixed in a coming pattern update, allowing you to re-enable those rules.

    Cheers - Bob
Reply
  • 0
    Did this start happening just recently?  If it's a result of a recent pattern update, then there's a decent liklihood that the rule(s) will be fixed in a coming pattern update, allowing you to re-enable those rules.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob, we've had the problem for at least 3 months.  For the Windows Media rule, it kicks in when we try to visit the home page for an agency.  The other one rears itself, when we try to load either of 2 pages buried deep into the website.

    We'd tried all our usual Astaro workarounds and haven't been able to "fix these".  We process about 200k http requests through our ASG on a daily basis.  So 3 problem pages is a tiny number - unless it's the page you need for your job.  

    While I know it's blocking 3 legitimate pages, I don't know what websites are tied to the other IP addresses.  A reverse lookup on one of the unknown IP addresses, yielded a shared hosting site with 90 websites on it.  I don't know where the user tried to go and if the IPS was working correctly, by blocking access to the site.

    I know some of the user's here have added added deny rules - I wondered if these were/are causing problems for them too.

    Bill