Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange IPS rule Detected

wingman
Hi All

One of my guest connected on my wireless and I keep getting the IPS block rule below (The IPS is blocking it because it's part of the extra alerts and I've manually set it to block) 

Intrusion Prevention Alert



An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.



Details about the intrusion alert:



Message........: BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt

Details........: www.snort.org/.../19187

Time...........: 2011:09:05-21:37:48

Packet dropped.: yes

Priority.......: high

Classification.: Attempted User Privilege Gain

IP protocol....: 17 (UDP)



Source IP address: 208.67.222.222 (resolver1.opendns.com)

www.dnsstuff.com/.../ptr.ch

www.ripe.net/.../whois

ws.arin.net/.../whois.pl

cgi.apnic.net/.../whois.pl

Source port: 53 (domain)

Destination IP address: 172.16.2.1

www.dnsstuff.com/.../ptr.ch

www.ripe.net/.../whois

ws.arin.net/.../whois.pl

cgi.apnic.net/.../whois.pl

Destination port: 51452

        

-- 

System Uptime      : 1 day 10 hours 0 minutes

System Load        : 0.06

System Version     : Astaro Security Gateway 8.201



Please refer to the manual for detailed instructions.


I have no idea what that rule is as I can't find information on the URL provided.  Has anyone seen it before? It happens only with the specific client. The user is using latest chrome/firefox browsers and he noticed the issue as some times he get "no internet page". 

Also I've tried to change the DNS and got the same IPS message but the source was the google DNS this time [:)]


Thanks


This thread was automatically locked due to age.
  • 0
    Snort redid it's way of listing rules AGAIN, so the links don't work anymore.

    Microsoft Security Advisory MS11-040:
    The TMG Firewall Client contains a programming error that may allow a remote attacker to execute code on an affected system.

    A rule to detect attacks targeting this vulnerability is included in this release and is identified with GID 3, SID 19187.

    If he's not using the TMG Firewall Client, it's a false positive, and I'd just disable the rule.  Like it says on the Attack Patterns page:  
    To improve performance, you should deselect the groups that do not match services or software that you are running in your local networks.
  • 0
    What did you configure it to block?  Is the Astaro DNS active?  Have you added the wireless network to 'Allowed Networks there?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    That's strange as the user doesn't have the Microsoft forefront Threat Management Gateway/client installed. 

    We both don't have the relevant KB2520426 patch installed but he is only getting the blocks. We both use same DNS servers but the only difference is that he is getting the DNS directly via DNS servers and I am using astaro DNS (which use opendns again!)
  • 0 in reply to BAlfson
    What did you configure it to block?  Is the Astaro DNS active?  Have you added the wireless network to 'Allowed Networks there?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.


    Guest network is protected via IPS.Astaro DNS is active and working fine. It is just that wireless client on the Guest Vlan use openDNS directly and not Astaro DNS servers.

    I've logged in to the Guest network and got the same IPS alert as the user. None of us use Forefront though
  • 0 in reply to wingman
    wireless client on the Guest Vlan use openDNS directly

    Why not add the OpenDNS servers to a source exception in IPS? 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    cause that will resolve the issue as workaround but I won't understand why that is happening in the first place [:)]
  • 0
     I won't understand why that is happening in the first place
    You'd really have to dig through the snort repository and find exactly what pattern the rule is looking for.  If it is using the OVAL check, then it is triggering on the existence of an executable called Fwcmgmt.exe with a version number less than 7.0.7734.182.
  • 0 in reply to Scott_Klassen
    I'm getting the same snort trap from DNS traffic coming from Astaro itself which seem very strange.
    I get these a few times a day.
    I'll turn this off, but I'd much prefer to understand why this is happening and fix the rule (even manually).


    /var/log/ips/2012/02/ips-2012-02-15.log.gz:2012:02:15-12:29:03 wahine snort[12777]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="10.1.1.2" dstip="10.1.2.3" proto="17" srcport="53" dstport="52362" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0

    FYI
    Doug