Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 20204 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Protection Alert (Email) Change in ASG 8.2

ehcah
Hello,

I recently upgraded my ASG box to ASG 8.2.  I am continually getting email about Intrusion Prevention Alerts of varying priority.  On the previous version, I wasn't getting these and haven't changed my notifications.  Below is an example.  Did something change in ASG 8.2?

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: WEB-CLIENT HTML DOM invalid DHTML comment creation attempt
Details........: Snort ::
Time...........: 2011:08:23-10:24:25
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 98.129.63.179
Where are my results?
Database Query
http://ws.arin.net/cgi-bin/whois.pl?queryinput=98.129.63.179
APNIC - Query the APNIC Whois Database
Source port: 80 (http)
Destination IP address: 192.X.X.X
Where are my results?
Database Query
http://ws.arin.net/cgi-bin/whois.pl?queryinput=192.X.X.X
APNIC - Query the APNIC Whois Database
Destination port: 58418
        
-- 
System Uptime      : 3 days 8 hours 0 minutes
System Load        : 0.22
System Version     : Astaro Security Gateway 8.201

Please refer to the manual for detailed instructions.


This thread was automatically locked due to age.
  • 0
    You should have received them before, unless you had misconfigured the email address or disabled the notifications.

    Barry
  • 0
    Have you added the "extra notification" for the relevant IPS rules?
  • 0
    8.20x in IPS was "nervous" as compared to 8.103, so I wrote to the exceptions. I do not know why but it is true.
  • 0
    I'm not sure how to reply to the above except to say that all of my unchecked "email" boxes remain from 8.1x.  In the Intrusion Prevention section, the only unchecked email box is "WARN-856" and all SNMP boxes are checked.

    Under 8.1x our web usage is identical and I never received any email warning me of the sites we frequent.  Since migrating to 8.2x, I receive hundreds of email every day.  They can be received by going to sites like Newegg.ca, Equifax.com, LinkedIn.com or even Facebook?

    Any suggestions besides disabling all email notifications?
  • 0
    I am having a very similar issue since updating my astaro to the latest firmware revision.  Getting about 10x's the warns for the following snort rules:

    16300
    3679
    17127 - (getting tons of these from 1 box)
    15362
    15373
  • 0
    familiar and secure web site?... put them in the IPS exceptions... Or turn off IPS
  • 0
    After monitoring this further, the two most frequent email warnings come from:

    WARN-852 Intrusion Prevention Alert (Packet dropped)
    CRIT-852 Intrusion Prevention Alert (Packet dropped)

    What is the difference between between these two warnings and if I leave SNMP "checked", but "uncheck" email.  What am I risking?

    e
  • 0
    is the difference between between these two warnings
      This information is in the in-line help guide (blue question mark button in the upper right of WebAdmin).

    Notifications
    Notifications are divided into three categories:

    CRIT: Messages informing about critical events that might render the gateway inoperable.
    WARN: Warnings about potential problems that need your attention, for example, exceeding thresholds.
    INFO: Merely informational messages such as the restart of a system component, for example.
  • 0 in reply to ehcah
    After monitoring this further, the two most frequent email warnings come from:

    WARN-852 Intrusion Prevention Alert (Packet dropped)
    CRIT-852 Intrusion Prevention Alert (Packet dropped)

    What is the difference between between these two warnings and if I leave SNMP "checked", but "uncheck" email.  What am I risking?

    e



    I'm also getting a ton of these (hundreds a day) many from machines while no one is using them.

    Also,  some of them list my internal ip addresses as the source with some external ip address as the destination, does that mean I have something on my machine that is trying to propegate itself?  (the ones from an internal address are from a linux server that I have)

    Any Ideas?
  • 0
    It's possible.  What are the specific items listed in the notifications?  You should see a rule number that is being triggered.  Warn-852 and Crit-852 are just IPS notification categories, but don't describe the specific rule being triggered themselves.  Also, have you tuned the IPS to your environment?  Go to Network Security>>Intrusion Prevention>>Advanced Tab.  Add your machines that are running the various services to each of the boxes (HTTP Servers, DNS Servers, etc).