Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.201][solved]IPS seems not to block

wingman
Hi All

I just got a notification for a packet that was supposed to be dropped as per my config (pic attached) by the IPS but instead I just got an alert. I am using version 8.201

2011:08:17-09:15:13 stuffman snort[8411]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SPECIFIC-THREATS LANDesk Management Suite Alerting Service buffer overflow" group="500" srcip="192.168.*.***" dstip="192.168.**.**" proto="17" srcport="53" dstport="65535" sid="17567" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"


The rule belongs to the malware group which I am blocking as per pic 

Any thoughts?

Thanks


This thread was automatically locked due to age.
  • 0
    I got a similar thing after upgrading to 8.201. Got an email saying the packet was NOT dropped, but my IPS configuration has 'Drop' as the action for everything, and I have no Exceptions.

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: IMAP login brute force attempt
    Details........: Snort ::
    Time...........: 2011:08:23-08:12:52
    Packet dropped.: no
    Priority.......: medium
    Classification.: An attempted login using a suspicious username was detected
    IP protocol....: 6 (TCP)
     

    James.
  • 0 in reply to jlbrown
    I think these alerts occured because you activated the "add extra warnings" option. And if you would have read the documentation you would know that these warnings don't cause packets to be dropped [;)]

    Add Extra Warnings: When this option is selected, each group will include additional rules increasing the IPS detection rate. Note that these rules are more general and vague than the explicit attack patterns and will therefore likely produce more alerts. For that reason, the default action for these rules is Alert, which cannot be configured. 


    To activate dropping of packets detected by these extra definitions you have to use manual rule modifications in the "Advanced" tab.

    Regards,
    Bastian
  • 0
    Thanks Bastian.

    Yes, I do have the "Add Extra Warning" option selected, so that would be it.

    Have now added a few manual rule modifications in the Advanced tab. - It's crazy that you can't issue a modification for a range of rules, you have to enter every single one individually.

    Thanks again Bastian,

    James.
  • 0 in reply to Monarch
    I think these alerts occured because you activated the "add extra warnings" option. And if you would have read the documentation you would know that these warnings don't cause packets to be dropped [;)]



    To activate dropping of packets detected by these extra definitions you have to use manual rule modifications in the "Advanced" tab.

    Regards,
    Bastian


    I new I should have read the manual. [8-)][8-)]:rolleyes[:(]Thanks )

    jlbrown, you have to add each rule manually

    Thanks
  • 0
    Hi, 
    I also have to reply on this, because i also feel it's a shame that you "can't issue a modification for a range of rules, you have to enter every single one individually."

    So is there really not an option to set every rule to drop traffic? I don't want to look up every "extra warning rule" number and set therefore a manual rule modification...

    Or can somebody tell me all the rule numbers for the extra warnings?

    Thx Albeck
  • 0
    Albeck and James, I suspect that you'd see why this is not a good idea after turning on a bunch of rules that are normally just additional warnings.

    Wingman, this is an opportunity to learn the old English expression "hoist on his own petard" [[[:D]]][[[:D]]][[[:D]]]



    Cheers - Bob
  • 0 in reply to BAlfson

    Wingman, this is an opportunity to learn the old English expression "hoist on his own petard" [[[[:D]]]][[[[:D]]]]:

    In the south where I live, I believe they would use it in a sentence like this... If that somebeach doesn't listen the next time, weer gonna hoist him on his own petard... yes sir[[[[:D]]]][[[[:D]]]]
  • 0
    @Albeck:  You can find a list of IPS rules used by Astaro at Astaro IPS Rules
  • 0
    @BAlfson: No I really don't so tell my why this would be a bad idea?
    @Scott: Yeah I know..but i dont want to make 10000 single "modificated rules"..That would be just stupid....why is it not possible to configurate something like from rule 1 to 999999 drop and i would be done....no instead a have to make rule 1 drop, rule 2 drop etc....just endless