Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 900 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS preventing Endpoint Protection from updating

JonEtkins
I have Sophos Endpoint Protection installed on a test VM that I use only occasionally, and I when I fired it up yesterday, I noticed that it was having trouble downloading updates from the Sophos server:

Time: 11/14/2013 0:47:26
Message: AutoUpdate finished
Module: SophosUpdate
Process ID: 944
Thread ID: 736

Time: 11/14/2013 0:47:26
Message: Downloading phase completed
Module: Update
Process ID: 944
Thread ID: 736

Time: 11/14/2013 0:47:26
Message: ERROR:   Download of Endpoint Security and Control failed from server Sophos
Module: Update
Process ID: 944
Thread ID: 736

Time: 11/14/2013 0:46:20
Message: Downloading product Endpoint Security and Control from server Sophos
Module: Update
Process ID: 944
Thread ID: 736

Time: 11/14/2013 0:46:05
Message: ***************          Sophos AutoUpdate started          ***************
Module: SophosUpdate
Process ID: 944
Thread ID: 736


At the same time, I started receiving IPS notifications from the firewall:

2013:11:14-00:46:35 astaro snort[15096]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-PDF Microsoft Windows kernel-mode drivers core font parsing integer overflow attempt" group="110" srcip="63.239.232.59" dstip="192.168.0.14" proto="6" srcport="80" dstport="64343" sid="24507" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"
2013:11:14-00:47:07 astaro snort[15096]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-PDF Microsoft Windows kernel-mode drivers core font parsing integer overflow attempt" group="110" srcip="209.8.115.136" dstip="192.168.0.14" proto="6" srcport="80" dstport="64468" sid="24507" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"


Eventually I put 2 and 2 together and realized that Sophos' own UTM was causing the problem with the downloads.  Specifically Snort rule 24507.  After creating an exception to log and report that rule instead of dropping, the updates are now working again.


This thread was automatically locked due to age.
Parents
  • 0
    I too recently had a problem with Endpoint Protection updating.  Was just installing my 2nd Endpoint Protection client, and could not for the life of me get it to update after the initial installation.  Tried everything I could possibly think of, the update would always fail with that same error you received.  I had concluded that there was something about the configuration of the laptop that EP just wasn't liking.  Finally, I remembered that at the time I had installed my first EP client, I had not yet turned on Intrusion Prevention, so I turned that off and viola, the laptop updated.  After the initial update I turned Intrusion Prevention back on, and it has been updating properly since.  My guess is there's something in that initial update that allows it to work properly with IPS turned on.

    I had only briefly glanced at logs originally, will go back and see if I can find the errors you noted.
Reply
  • 0
    I too recently had a problem with Endpoint Protection updating.  Was just installing my 2nd Endpoint Protection client, and could not for the life of me get it to update after the initial installation.  Tried everything I could possibly think of, the update would always fail with that same error you received.  I had concluded that there was something about the configuration of the laptop that EP just wasn't liking.  Finally, I remembered that at the time I had installed my first EP client, I had not yet turned on Intrusion Prevention, so I turned that off and viola, the laptop updated.  After the initial update I turned Intrusion Prevention back on, and it has been updating properly since.  My guess is there's something in that initial update that allows it to work properly with IPS turned on.

    I had only briefly glanced at logs originally, will go back and see if I can find the errors you noted.
Children
No Data