Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 6797 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Symantec LiveUpdate

alexis101
I just installed symantec anti-virus and I can't get liveupdate to work. According to symantec web site liveupdate use http,https and ftp witch are all open for the internal network. And anyway I don't see anything blocked on the live log while liveupdate is running. I did try to open everything for the internal network it dint help... I tried with the http proxy on and off still not working... I really don't get it. Is there anyone out here that actually made that work?
Thanks


This thread was automatically locked due to age.
  • 0
    Hello,

    Did you try to make an exception for Symantec Corporation on your Web Proxy skipping all tests (URL, extension, A/V, Scripits, etc)? If not, try this first. Some web services are alergic to proxy checks.

    In case the above doesn't help, just bypass web proxy for liveupdate. If you are using transparent proxy, add an exception for your liveupdate machine(s) to the transparent proxy exception list. Then add a DNS group definition for liveupdate.symantecliveupdate.com and create a packet filter rule to allow your server to connect to live update with FTP/HTTP/HTTPS.
  • 0
    same issue and have done all of the above. I have an issue with netflix not wanting to stream even with the streaming media check box checked. I added the exception and all would work, but creating a exception for the symantec live update is not working. I noticed this issue started to occur after the up2date ran and installed 8.03 a couple of days ago. My outbound traffic is set to allow all and nothing shows being blocked in the live log.
  • 0
    Whenever something doesn't make sense, temporarily disable Intrusion Prevention to see if the behavior changes.  Turn it back on, then go look in its log if there was an effect.

    Cheers - Bob
  • 0 in reply to BAlfson
    That did the trick. I was stuck on the web security and totally did not think of it getting blocked by SNORT.

    Thanks.

    Next question. Do you have a way thst this can be set to exclude future issues when IPS is re-enabled?

    Thanks again.
  • 0
    I would have left IPS enabled while I was fixing the problem.  To fix the false-positive, you either disable the rule or create an exception.  Show the line from the IPS log if you'd like a suggestion.

    Cheers - Bob
  • 0 in reply to BAlfson
    It is treating it as McAfee, but this is Symantec trying to access live update. I tried to do an update while watching the livelog and this is what it said. I am not sure how to disable just the SNORT SID to stop this.

    2010:11:13-09:15:34 astaro snort[13456]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt" group="500" srcip="209.18.42.169" dstip="192.168.100.12" proto="6" srcport="80" dstport="15706" sid="17297" class="Attempted Denial of Service" priority="2" generator="1" msgid="0" 
  • 0 in reply to mdp_01
    Ok, I was able to get this fixed. I went to the advanced tab in IPS and and added a modified rule and disabled SNORT rule ID 17297

    Everything is working great with Symantec Live Update now.

    Thanks for all the help.
  • 0 in reply to mdp_01
    Check my given ( symantec intrusion prevention ipsbho.dll ) article..to know more details...