NNTP blocked bei IPS after Update 7.508

According to the Snort ID, you can turn that rule off if you aren't using "Microsoft Outlook Express 6 and earlier [or] Windows Mail for Vista" or if you have upgraded to later versions of the software or you have applied all patches.

Cheers - Bob

Hi,

O.K. as this patch comes with Windows XP SP1, I would like to turn that IPS rule off.
But where?
In Network Security, Intrusion Prevention I am not able to find something like "NNTP XHDR buffer overflow attempt".
Where is that rule hidden?
Markus

Cheers - Bob

Thanks a lot for that hint.
But even when I disabled Rule ID 2101 I Will get the following IPS log :

2010:11:25-09:16:58 security-gateway snort[12451]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="NNTP XHDR buffer overflow attempt" group="500" srcip="130.57.5.50" dstip="10.130.0.115" proto="6" srcport="119" dstport="1361" sid="12636" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0" 

Is there still an other place to change this?

I have the same issue and, this also for Novell's forums, I simply did a exclusion based on Novell's IP as such to "bypass everything":....

Go to Search for SNORT ID's, and look up 12636.  If you have already obviated that risk, you can turn that rule off, too.

Cheers - Bob

Hi Bob,, just checking a thought.....

So, to understand IPS right, it more or less stops anything that could pose a threat according to snort ?
Even if neither my PC's inhouse or the site Im connecting to are harmfull in any way, it'll still be blocked since there is a known/possible issue ?

If that's the case, the using IPS off course needs a lot of attention since "everything is dangerous" nowdays somewere...

I though/hoped that the IPS should somehow (excuse my lack of knowledge here..) understand if the actual trafic/responce from Novell in this case was harmful and not block simply because it can be issues with NNTP.

thanks...

I think you're understanding it correctly.

In the past, Astaro deactivated some rules in the standard setup.  This got them some bad publicity in early 2009 because a well-known magazine ranked them below others.  Not one Astaro customer complained of having been attacked successfully, but the point was made, and Astaro decided to upgrade IPS and include every rule.  The good news is that it's "better."  The bad news is that it takes more effort to use it and keep it from disrupting things.

Cheers - Bob

Thanks a lot for that hint.
But even when I disabled Rule ID 2101 I Will get the following IPS log :

2010:11:25-09:16:58 security-gateway snort[12451]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" ...

Is there still an other place to change this?

Me the same problem.
Disabling IPS for the address is *no* solution for me!!

Why does the IPS not change from 'Drop' to 'Warn' in 'Manual Rule modification'?
Start and stop doesn't help too.

regards
gerhard

Gerhard, I was careless in the example picture (this now is corrected as noted in in posts #2 and #4).  You want the number indicated by sid= instead of id=.  

What version of Astaro - 7.508?

Cheers - Bob