Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 6176 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Blocking android market & MSDN

PaulGH
Hi

UTM 9.004-33 with a home license, pattern version 39444.

The last few days I've been experiencing problems downloading from MSDN, either using the MS download manager or using Chrome. Using the MS download manager, the download will continue until 99% complete and then hangs during the verify. In chrome the download fails after about 30%.

Downloads from the android market on any of the android devices in use around the household also fail, generally hanging after 15Kb - 20Kb.

This is the error :- 

id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER RealNetworks Netzip Classic zip archive long filename buffer overflow attempt" group="500" srcip="173.194.30.87" dstip="nnn.nnn.nnn.49" proto="6" srcport="80" dstport="39072" sid="24229" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"


I've added an exception for MSDN, but I'd rather not continue to add more and more as that really defeats the purpose [[:)]] and I find it hard to believe that MS & Google are trying to do this [[:)]] Turning IPS off and all is fine again.

I've had several other complaints about various flash game sites not working in the last week, but I've not really taken much notice of those as they're not much of a priority for me.

Has there has been some sort of pattern update that has caused this as all was fine up until a week(ish) ago.

Any thoughts ?

Many thanks.


This thread was automatically locked due to age.
  • 0
    All IPS Systems need tuning; some rules fire falsely in some environments but not in others.  In your case, it appears you should disable IPS rule 24229 ... look under the advanced tab in the IPS configuration.
  • 0 in reply to BrucekConvergent
    I appreciate the help, that rule certainly solves the problem [[:)]] however it removes the protection that it provides against any real attack. I need to look at adding an exception for the Android market instead.

    I agree that tuning and tweaking is always required, I'm just a little surprised that a config that's been working for 2 or 3 years stops working overnight [[:)]] I don't know where the change has occurred, in Astaro or that MS or Google are doing something differently (although the fact that Google is now "uncategorised" in the web filter makes me suspicious of the cause).

    I've got access to another connection that runs Astaro so I'll see what happens on there.
  • 0 in reply to PaulGH
    It's simple to explain; one of the recent up2dates probably added the rule you disabled.  The rule is bad, or at least is no good in your setup ... currently there is not a way to disable a specific rule for traffic originating or destined for a specific IP / Network... there's nothing else to do but turn the rule off.  Currently at several customer sites we're seeing a lot of false positives related to Excel spreadsheet-related "attacks" ... we've had to disable a number of these rules recently, just bad rules.
  • 0
    FWIW, you can still have the rule generate alerts but not drop traffic, so you do at least have a log trail if something does happen.

    Barry
  • 0 in reply to BarryG
    This is a massive pain. I've noticed that LOADS of large zip files getting blocked on download as well. Sophos support has been absolutely rubbish in responding to this.
  • 0
    This really isn't an issue for Support to fix.  If you want to give them a list of the rules you must disable, then that might help the developers.

    Just check your Intrusion Prevention log and disable the SIDs on the 'Advanced' tab.

    Cheers - Bob
  • 0
    Bob - is disabling the SIDs the correct thing to do ? There are plenty of cases where the exploits that IPS is trying to block are true attacks, but blocking MSDN and the Android market - surely there's a bug or a rule with an error ? [[:)]]

    Google was "uncategorised" not so long ago - that surely, must have been a mistake too ?

    I completely understand that all installations need to be fine tuned for the environment that they operate in, but it's a little frustrating that there are new "broken" rules daily [[:)]]


    BarryG - thanks for your post, this is what I've been doing.
  • 0 in reply to PaulGH
    How is this not a bug?

    I have a long list of zip download files I have tried to download recently, and they all block at some point during the download.

    In fact, the first time I saw it, I was trying to download the VMware appliance from the Sophos website!

    This rule is obviously causing a lot of false positives.

    I understand that Sophos may use a third party list to populate the rules for IPS, but it doesn't mean it isn't their problem.

    Anyway, their support hasn't contacted me for 2(!) days. You've pointed me to the correct rule, thank you! I've pointed them to this thread.
  • 0 in reply to jpwjpw
    MSDN seems to be a special case! Every download my users does from MSDN seems to trigger multiple rules.

    As well as the rule above, i'm seeing these:

    2012:12:17-10:23:42 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-PLUGINS Microsoft Visual Basic 6 TLIApplication ActiveX clsid access" group="310" srcip="193.45.10.145" dstip="*" proto="6" srcport="80" dstport="63434" sid="12269" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    2012:12:17-10:34:59 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BROWSER-PLUGINS Microsoft Internet Explorer Scriptlet Component ActiveX clsid access" group="320" srcip="23.63.101.48" dstip="*" proto="6" srcport="80" dstport="63653" sid="17772" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

    2012:12:17-10:37:17 LiveFW-1 snort[22132]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER F-Secure AntiVirus library heap overflow attempt" group="500" srcip="23.63.101.48" dstip="*" proto="6" srcport="80" dstport="63653" sid="15583" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"
  • 0
    jpwjpw, I think your issue  in post 9 may be related more to the other thread.  Your issue in post 10 is what this thread is about.  The best thing you can do is to submit a support ticket that reports the false positive(s), attaching the Intrusion Prevention file from that day.  Then, disable each SID rule or set it to notify-only instead of drop (you will want to download the file first, or you will fill it up with lines generated by the Snort restart process).

    Astaro/Sophos doesn't immediately release all Snort updates - they are tested as best they can.  I agree that there should be phased rollouts beginning at 07:00 UTC and ending at 15:00, or something like that.

    Cheers - Bob