Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4919 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS suspect block

exzR
hi, it's my first thread and i'm a newbie [:)], i hope to write into correct section...
i have installed Sophos utm software 9.200-11 on my virtual machine.

(1 cpu @ 2.60GHz, 2 Gb ram, 2 NIC Realtek Fast Ethernet (RTL-8139) and 50GB IDE HD).

i try to set ips like the manual, (enable on lan and other config like tcp/udp/icmp flood) but when i start it live log says:


2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: dcerpc2 Preprocessor Statistics
2014:03:07-14:51:44 Sobox snort[7238]: Total sessions: 0
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: SIP Preprocessor Statistics
2014:03:07-14:51:44 Sobox snort[7238]: Total sessions: 0
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: Could not remove pid file /var/run//snort_16000.pid: Permission denied
2014:03:07-14:51:44 Sobox snort[7238]: Snort exiting



i have tryied for example nmap online or portscan by my lan but the log doesn't say nothing...

where i wrong? possible network incompatibility? (i can choose one of this types of nic drivers: 
intel gigabit ethernet, NE2000(not completly recognize uplink status), Pcnet32(Am79c970), Virtual Gigabit Ethernet (Required VM drivers only for windows), and Realtek that i used

sorry for my bad english i hope you understand what i want to say...

thanks all

ps: i have tryied to set action "Log event only" into port-scan tab but nothing...


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    What Virtual OS are you using? Try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  If that doesn't give you the answer, and ifconfig shows errors, try #7.  Any luck?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, and welcome to the User BB!

    What Virtual OS are you using? Try #1 in http://www.astaro.org/gateway-products/general-discussion/49065-rulz.html.  If that doesn't give you the answer, and ifconfig shows errors, try #7.  Any luck?

    Cheers - Bob


    thanks for welcome and for the reply [:)] i will try in this days... my big problem that i use a qnap nas to virtualize firewall (no more box i need [[:D]]) with virtualization station app... if you need i can take some screenshots.. i have enabled all notification of ips (into notification tab) but nothing alert [:(]

    i have seen Endian firewall (same problem with ips into local network... it seems to allow port scanning etc) but sophos is another planet [[:D]]

    for some information, i have sophos utm home edition
  • 0
    thanks for welcome and for the reply [[:)]]..my big problem that i use a qnap nas to virtualize firewall (no more box i need [[:D]]) with virtualization station app... if you need i can take some screenshots.. i have enabled all notification of ips (into notification tab) but nothing alert.. 

    i have seen Endian firewall (same problem with ips into local network... it seems to allow port scanning etc) but sophos is another planet [[:D]]

    for some information, i have sophos utm home edition

    ps: when i created the virtual machine it tells me which linux os it based (centos, ubuntu, etc) but i have searched on internet but i haven't found any result about it.. i will try your solution in this days [[:)]]
  • 0
    qnap probably does not have the correct drivers for utm to work.  I would install either dedicated hardware OKR use hyper-v then virtualize inside of that.
  • 0 in reply to William Warren
    hi, 

    which kind of linux distro uses utm? maybe i can change the os machine type (now set to red hat)...

    for my ips problem, i see #1 and #7 rulez but application control says nothing and firewall drop bittorent connection, ifconfig says no error (mac address are correct both nic, ip are ok and mtu is set to 1500) and correct recognized during installation process.

    i'm thinking maybe the problem can be caused by my fastweb hug (sorry, i forget to say that i'm using fastweb 10mb) because my firewall is connect to this hug (both with ports forward for my services)


    now this is my ips log (

    2014:03:09-00:23:00 Sobox snort[7248]: S5: Session exceeded configured max bytes to queue 1048576 using 1050000 bytes (client queue). 192.168.1.130 33446 --> 193.206.139.34 80 (0) : LWstate 0x9 LWFlags 0x406007
    2014:03:09-10:36:35 Sobox snort[7248]: S5: Session exceeded configured max bytes to queue 1048576 using 1049420 bytes (client queue). 93.71.235.145 51315 --> 192.168.147.199 6881 (0) : LWstate 0x9 LWFlags 0x6007
    2014:03:09-17:06:07 Sobox snort[7248]: S5: Session exceeded configured max bytes to queue 1048576 using 1048704 bytes (client queue). 192.168.1.130 57282 --> 149.154.152.149 80 (0) : LWstate 0x9 LWFlags 0x406007


    thanks and sorry for my english and maybe stupid answers[:)]
  • 0
    If you can select Suse Enterprise Linux 11, you might have better luck.

    Cheers - Bob
  • 0 in reply to BAlfson
    can might Suse Linux Enterprise Server 11 be ok? [:)]
    thanks
  • 0 in reply to BarryG
    i have reinstalled sophos with new os information (suse enterprise linux server 11). after installation process snort has same issue (could not remove pid file, snort exiting). i have stopped it for a while then restart sophos and renable it.. now it seems to work [[:)]]

    this is log (only one line) for nmap online scanner execute by my pc

    2014:03:10-14:21:41 SOPHOS snort[11780]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="SOPHOS_IP" dstip="MyHostIp" proto="17" srcport="53" dstport="61948" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"


    now i have tryied to change policy to "terminate connection" but another time "snort coud not remove ...pid, snort exiting"

    i'll see if it works yet..
    i have restarted nmap online, then this is the live log


    Live Log: Intrusion Prevention System
    Filter: Autoscroll
    Reload
    2014:03:10-14:23:32 SophosUtm snort[23582]: ===============================================================================
    2014:03:10-14:23:32 SophosUtm snort[23582]: SIP Preprocessor Statistics
    2014:03:10-14:23:32 SophosUtm snort[23582]: Total sessions: 0
    2014:03:10-14:23:32 SophosUtm snort[23582]: ===============================================================================
    2014:03:10-14:23:32 SophosUtm snort[23582]: Could not remove pid file /var/run//snort_16000.pid: Permission denied
    2014:03:10-14:23:32 SophosUtm snort[23582]: Snort exiting
    2014:03:10-14:24:16 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="61929" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:24:31 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="52051" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:25:36 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="51793" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:25:56 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="55361" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"


    instead the issue it's seems to work  (now with policy terminate connection) [[:)]]

    thanks for your support
  • 0
    Hi , the snort pid message is normal, according to sophos.


    Barry