Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 6170 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Blocking android market & MSDN

PaulGH
Hi

UTM 9.004-33 with a home license, pattern version 39444.

The last few days I've been experiencing problems downloading from MSDN, either using the MS download manager or using Chrome. Using the MS download manager, the download will continue until 99% complete and then hangs during the verify. In chrome the download fails after about 30%.

Downloads from the android market on any of the android devices in use around the household also fail, generally hanging after 15Kb - 20Kb.

This is the error :- 

id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER RealNetworks Netzip Classic zip archive long filename buffer overflow attempt" group="500" srcip="173.194.30.87" dstip="nnn.nnn.nnn.49" proto="6" srcport="80" dstport="39072" sid="24229" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"


I've added an exception for MSDN, but I'd rather not continue to add more and more as that really defeats the purpose [[:)]] and I find it hard to believe that MS & Google are trying to do this [[:)]] Turning IPS off and all is fine again.

I've had several other complaints about various flash game sites not working in the last week, but I've not really taken much notice of those as they're not much of a priority for me.

Has there has been some sort of pattern update that has caused this as all was fine up until a week(ish) ago.

Any thoughts ?

Many thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Bob - is disabling the SIDs the correct thing to do ? There are plenty of cases where the exploits that IPS is trying to block are true attacks, but blocking MSDN and the Android market - surely there's a bug or a rule with an error ? [[:)]]

    Google was "uncategorised" not so long ago - that surely, must have been a mistake too ?

    I completely understand that all installations need to be fine tuned for the environment that they operate in, but it's a little frustrating that there are new "broken" rules daily [[:)]]


    BarryG - thanks for your post, this is what I've been doing.
  • 0 in reply to PaulGH
    How is this not a bug?

    I have a long list of zip download files I have tried to download recently, and they all block at some point during the download.

    In fact, the first time I saw it, I was trying to download the VMware appliance from the Sophos website!

    This rule is obviously causing a lot of false positives.

    I understand that Sophos may use a third party list to populate the rules for IPS, but it doesn't mean it isn't their problem.

    Anyway, their support hasn't contacted me for 2(!) days. You've pointed me to the correct rule, thank you! I've pointed them to this thread.
Reply
  • 0 in reply to PaulGH
    How is this not a bug?

    I have a long list of zip download files I have tried to download recently, and they all block at some point during the download.

    In fact, the first time I saw it, I was trying to download the VMware appliance from the Sophos website!

    This rule is obviously causing a lot of false positives.

    I understand that Sophos may use a third party list to populate the rules for IPS, but it doesn't mean it isn't their problem.

    Anyway, their support hasn't contacted me for 2(!) days. You've pointed me to the correct rule, thank you! I've pointed them to this thread.
Children
  • 0 in reply to jpwjpw
    MSDN seems to be a special case! Every download my users does from MSDN seems to trigger multiple rules.

    As well as the rule above, i'm seeing these:

    2012:12:17-10:23:42 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-PLUGINS Microsoft Visual Basic 6 TLIApplication ActiveX clsid access" group="310" srcip="193.45.10.145" dstip="*" proto="6" srcport="80" dstport="63434" sid="12269" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    2012:12:17-10:34:59 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BROWSER-PLUGINS Microsoft Internet Explorer Scriptlet Component ActiveX clsid access" group="320" srcip="23.63.101.48" dstip="*" proto="6" srcport="80" dstport="63653" sid="17772" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    2012:12:17-10:37:17 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER F-Secure AntiVirus library heap overflow attempt" group="500" srcip="23.63.101.48" dstip="*" proto="6" srcport="80" dstport="63653" sid="15583" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"