Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 5278 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS logs growing growing growing... can't stop it.

SalishSwede
I'm  attempting to stop the following rule from filling my IPS logs.

"id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="reject" reason="PROTOCOL-ICMP Unusual PING detected" group="410" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" srcport="0" dstport="0" sid="29456" class="Information Leak" priority="2" generator="1" msgid="0" "

I need this traffic stopped but I don't want to see 400,000 iterations of the alert every single day.

My process:
1. In Network Protection > Intrusion Prevention > Advanced > Modify Rules I have added a modification for 29456 to disable notification and to drop.

Can someone please show me the error of my ways?

Thanks,

~D


This thread was automatically locked due to age.
Parents
  • 0
    Stepping away from the firewall a moment:

    What are 10.1.0.7 and 10.1.1.2?
    Why is 10.1.0.7 pinging 10.1.1.2?
  • 0 in reply to teched_01
    10.1.0.7 is a DVR from Dish called the Hopper.  It has advanced features and communicates extensively with the mothership.  10.1.1.2 is the Sophos UTM which manages the Hopper via a web profile set to Anonymous.  

    As to why it is pinging the router, I can't say exactly.  It's curious.  I've seen IPS alerts regarding non-standard SSL connections from the dvr and have setup numerous rules allowing various traffic through (outbound).  These devices are the next wave of commercial surveillance.  I'll allow it for the most part as there's little I can do to stop it without impacting the dvr's functionality.
    I haven't audited the dvr's networking traffic  It's tempting to look into it.
Reply
  • 0 in reply to teched_01
    10.1.0.7 is a DVR from Dish called the Hopper.  It has advanced features and communicates extensively with the mothership.  10.1.1.2 is the Sophos UTM which manages the Hopper via a web profile set to Anonymous.  

    As to why it is pinging the router, I can't say exactly.  It's curious.  I've seen IPS alerts regarding non-standard SSL connections from the dvr and have setup numerous rules allowing various traffic through (outbound).  These devices are the next wave of commercial surveillance.  I'll allow it for the most part as there's little I can do to stop it without impacting the dvr's functionality.
    I haven't audited the dvr's networking traffic  It's tempting to look into it.
Children
  • 0 in reply to SalishSwede
    From the UTM, here's the traffic from the dvr (10.1.0.7) in the past week

    Top Service    Protocol    IN        %      OUT          %       Total      %     Conn    %    
    1    HTTP      TCP        13.2 GB   99.97   240.4 MB    97.82  13.4 GB    99.93   4888    30.41
    2    HTTPS     TCP        1.5 MB    0.01    4.6 MB      1.85    6.0 MB    0.04    2913    18.12
    3    DOMAIN    UDP        2.0 MB    0.01    336.4 kB    0.13    2.3 MB    0.02    5273    32.81
    4    COLUBRIS  TCP        331.2 kB  0.00    360.7 kB    0.14    691.8kB   0.00    2768    17.22
    5    1022      TCP        38.6 kB   0.00    127.1 kB    0.05    165.7kB   0.00    9       0.06
    6    GLOBE     TCP        4.2 kB    0.00    4.3 kB      0.00    8.5 kB    0.00    1       0.01
    7    5351      UDP        0         0.00    6.3 kB      0.00    6.3 kB    0.00    215     1.34
    8    BOOTPS    UDP        0.6 kB    0.00    1.1 kB      0.00    1.8 kB    0.00    2       0.01
    9    HTTP-ALT  TCP         0        0.00    0.4 kB      0.00    0.4 kB    0.00    2       0.01
    10   RAID-AC   UDP