Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 5276 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS logs growing growing growing... can't stop it.

SalishSwede
I'm  attempting to stop the following rule from filling my IPS logs.

"id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="reject" reason="PROTOCOL-ICMP Unusual PING detected" group="410" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" srcport="0" dstport="0" sid="29456" class="Information Leak" priority="2" generator="1" msgid="0" "

I need this traffic stopped but I don't want to see 400,000 iterations of the alert every single day.

My process:
1. In Network Protection > Intrusion Prevention > Advanced > Modify Rules I have added a modification for 29456 to disable notification and to drop.

Can someone please show me the error of my ways?

Thanks,

~D


This thread was automatically locked due to age.
  • 0
    Its a bad rule, just disable it (completely).  At least I've found it to be a false positive in installations I manage.
  • 0
    If I disable it, the traffic isn't blocked.
  • 0
    You can block pings in the Firewall->ICMP tab, or with a custom firewall rule.

    Barry
  • 0 in reply to BarryG
    The endless battle continues...

    I've done three things:
    1) I turned off all ICMP functionality under Network Protection\Firewall\ICMP
    2) I created a custom rule that blocks all ICMP protocol traffic from this ip address.
    3) Completely disabling the IPS rule. 

    Result: 
    1)  Firewall still filling with  ICMP alerts from 10.1.0.7
    2)  IPS log has stopped alerting on strange ICMP traffic.

    The rule is set as follows:
    Source = 10.1.0.7
    Services: a group containing all ICMP svs including pings.
    Destination: Any
    Action: Drop
    Log Traffic: not checked


    2014:03:12-15:23:36 ravenna ulogd[4794]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="4c:82:cf:2:20:1f" dstmac="0:c:29:f2:87:19" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" length="84" tos="0x00" prec="0x00" ttl="64" type="8" code="0"  
    2014:03:12-15:23:39 ravenna ulogd[4794]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="4c:82:cf:2:20:1f" dstmac="0:c:29:f2:87:19" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" length="84" tos="0x00" prec="0x00" ttl="64" type="8" code="0"
    This is beyond irritating.

    The only thing left is to ALLOW all ICMP traffic but that defeats the firewall itself.
  • 0
    Stepping away from the firewall a moment:

    What are 10.1.0.7 and 10.1.1.2?
    Why is 10.1.0.7 pinging 10.1.1.2?
  • 0 in reply to teched_01
    10.1.0.7 is a DVR from Dish called the Hopper.  It has advanced features and communicates extensively with the mothership.  10.1.1.2 is the Sophos UTM which manages the Hopper via a web profile set to Anonymous.  

    As to why it is pinging the router, I can't say exactly.  It's curious.  I've seen IPS alerts regarding non-standard SSL connections from the dvr and have setup numerous rules allowing various traffic through (outbound).  These devices are the next wave of commercial surveillance.  I'll allow it for the most part as there's little I can do to stop it without impacting the dvr's functionality.
    I haven't audited the dvr's networking traffic  It's tempting to look into it.
  • 0 in reply to SalishSwede
    From the UTM, here's the traffic from the dvr (10.1.0.7) in the past week

    Top Service    Protocol    IN        %      OUT          %       Total      %     Conn    %    
    1    HTTP      TCP        13.2 GB   99.97   240.4 MB    97.82  13.4 GB    99.93   4888    30.41
    2    HTTPS     TCP        1.5 MB    0.01    4.6 MB      1.85    6.0 MB    0.04    2913    18.12
    3    DOMAIN    UDP        2.0 MB    0.01    336.4 kB    0.13    2.3 MB    0.02    5273    32.81
    4    COLUBRIS  TCP        331.2 kB  0.00    360.7 kB    0.14    691.8kB   0.00    2768    17.22
    5    1022      TCP        38.6 kB   0.00    127.1 kB    0.05    165.7kB   0.00    9       0.06
    6    GLOBE     TCP        4.2 kB    0.00    4.3 kB      0.00    8.5 kB    0.00    1       0.01
    7    5351      UDP        0         0.00    6.3 kB      0.00    6.3 kB    0.00    215     1.34
    8    BOOTPS    UDP        0.6 kB    0.00    1.1 kB      0.00    1.8 kB    0.00    2       0.01
    9    HTTP-ALT  TCP         0        0.00    0.4 kB      0.00    0.4 kB    0.00    2       0.01
    10   RAID-AC   UDP       
  • 0
    Doug, the lines from the Firewall log show a default drop out of the INPUT chain (60001).  This means that your firewall rule needs to be changed: in 'Destinations', replace the host definition you're using with "Internal (Address)."

    If you want to go back to all the same settings you had before, use a DNAT instead and send the ping traffic from the Hopper to a non-existent IP in your local subnet.  You might ask Dish if this is a malfunction.

    See #2 and #4 in Rulz for a better understanding.

    Cheers - Bob
  • 0 in reply to BAlfson
    Doug, the lines from the Firewall log show a default drop out of the INPUT chain (60001).  This means that your firewall rule needs to be changed: in 'Destinations', replace the host definition you're using with "Internal (Address)."


    Thanks,
    I assumed that ANY would have covered a specific address, but I'll try it.
  • 0 in reply to SalishSwede
    2014:04:19-00:05:01 efw1-1 snort[18999]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="" reason="(smtp) Attempted command buffer overflow: more than 512 chars" srcip="199.59.150.80" dstip="192.168.1.11" proto="6" srcport="10045" dstport="25" sid="1" class="Attempted Administrator Privilege Gain" priority="1"  generator="124" msgid="1"
    2014:04:19-00:05:43 efw1-1 snort[18999]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="" reason="(smtp) Attempted command buffer overflow: more than 512 chars" srcip="209.85.217.196" dstip="192.168.1.11" proto="6" srcport="47394" dstport="25" sid="1" class="Attempted Administrator Privilege Gain" priority="1"  generator="124" msgid="1"