Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 9256 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt

Alvin
Hi

- I am using Open DNS to additional security.

- Recently I get the following IPS Alerts.

Message........: BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt
Details........: Snort ::
Time...........: 2012-10-27 11:26:10
Packet dropped.: no
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 17 (UDP)

Source IP address: 208.67.222.222 (resolver1.opendns.com)

- I believe it is a False Alarm since OpenDNS can be trusted (I think) 

- Another strange behavior is when the Destination is to my VPN (iPhone VPN, Laptop SSL VPN)

- Since I am a home users - I can only report here hopefully someone will fix this signature?

- For now, I set FROM and TO OpenDNS = By Pass IPS for all settings.

- But Ideally I dont want to set exceptions in case one day there is really some malicious traffic.


This thread was automatically locked due to age.
  • 0
    Hi, instead of bypassing the IPS for OpenDNS, you can just disable rule 19187 under IPS->Advanced.

    This should be safe since presumably you're not using TMG firewall client.

    Barry
  • 0 in reply to BarryG
    Thank You

    1) I disabled 19187

    2) Note that when I click on the Link in the Alert E-Mail
    Snort ::

    - SNORT Website says "This rule does not exist in our database."

    3) It would be good when we disable a Rule - we see the Description and not just a number which is a pain to "manage" such as when a new IPS Update comes - I would be keen to Test if the New IPS Signature fixed the problem.

    Ultimately we dont want to keep disabling rules.

    While Home Users do not get support - I do hope there is a way for us to submit such problems to inform them to tune the signature.
  • 0
    They're tuning these all of the time.  I don't usually clean out old rules, but BruceKConvergent reports that he does because he finds the false-positives are almost-always fixed after awhile.

    Cheers - Bob