Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2300 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.201][solved]IPS seems not to block

wingman
Hi All

I just got a notification for a packet that was supposed to be dropped as per my config (pic attached) by the IPS but instead I just got an alert. I am using version 8.201

2011:08:17-09:15:13 stuffman snort[8411]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="SPECIFIC-THREATS LANDesk Management Suite Alerting Service buffer overflow" group="500" srcip="192.168.*.***" dstip="192.168.**.**" proto="17" srcport="53" dstport="65535" sid="17567" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"


The rule belongs to the malware group which I am blocking as per pic 

Any thoughts?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    I got a similar thing after upgrading to 8.201. Got an email saying the packet was NOT dropped, but my IPS configuration has 'Drop' as the action for everything, and I have no Exceptions.

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: IMAP login brute force attempt
    Details........: Snort ::
    Time...........: 2011:08:23-08:12:52
    Packet dropped.: no
    Priority.......: medium
    Classification.: An attempted login using a suspicious username was detected
    IP protocol....: 6 (TCP)
     

    James.
Reply
  • 0
    I got a similar thing after upgrading to 8.201. Got an email saying the packet was NOT dropped, but my IPS configuration has 'Drop' as the action for everything, and I have no Exceptions.

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future,
    set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: IMAP login brute force attempt
    Details........: Snort ::
    Time...........: 2011:08:23-08:12:52
    Packet dropped.: no
    Priority.......: medium
    Classification.: An attempted login using a suspicious username was detected
    IP protocol....: 6 (TCP)
     

    James.
Children
  • 0 in reply to jlbrown
    I think these alerts occured because you activated the "add extra warnings" option. And if you would have read the documentation you would know that these warnings don't cause packets to be dropped [;)]

    Add Extra Warnings: When this option is selected, each group will include additional rules increasing the IPS detection rate. Note that these rules are more general and vague than the explicit attack patterns and will therefore likely produce more alerts. For that reason, the default action for these rules is Alert, which cannot be configured. 


    To activate dropping of packets detected by these extra definitions you have to use manual rule modifications in the "Advanced" tab.

    Regards,
    Bastian
  • 0 in reply to Monarch
    I think these alerts occured because you activated the "add extra warnings" option. And if you would have read the documentation you would know that these warnings don't cause packets to be dropped [;)]



    To activate dropping of packets detected by these extra definitions you have to use manual rule modifications in the "Advanced" tab.

    Regards,
    Bastian


    I new I should have read the manual. [8-)][8-)]:rolleyes[:(]Thanks )

    jlbrown, you have to add each rule manually

    Thanks