Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS suspect block

exzR
hi, it's my first thread and i'm a newbie [:)], i hope to write into correct section...
i have installed Sophos utm software 9.200-11 on my virtual machine.

(1 cpu @ 2.60GHz, 2 Gb ram, 2 NIC Realtek Fast Ethernet (RTL-8139) and 50GB IDE HD).

i try to set ips like the manual, (enable on lan and other config like tcp/udp/icmp flood) but when i start it live log says:


2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: dcerpc2 Preprocessor Statistics
2014:03:07-14:51:44 Sobox snort[7238]: Total sessions: 0
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: SIP Preprocessor Statistics
2014:03:07-14:51:44 Sobox snort[7238]: Total sessions: 0
2014:03:07-14:51:44 Sobox snort[7238]: ===============================================================================
2014:03:07-14:51:44 Sobox snort[7238]: Could not remove pid file /var/run//snort_16000.pid: Permission denied
2014:03:07-14:51:44 Sobox snort[7238]: Snort exiting



i have tryied for example nmap online or portscan by my lan but the log doesn't say nothing...

where i wrong? possible network incompatibility? (i can choose one of this types of nic drivers: 
intel gigabit ethernet, NE2000(not completly recognize uplink status), Pcnet32(Am79c970), Virtual Gigabit Ethernet (Required VM drivers only for windows), and Realtek that i used

sorry for my bad english i hope you understand what i want to say...

thanks all

ps: i have tryied to set action "Log event only" into port-scan tab but nothing...


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    i have reinstalled sophos with new os information (suse enterprise linux server 11). after installation process snort has same issue (could not remove pid file, snort exiting). i have stopped it for a while then restart sophos and renable it.. now it seems to work [[:)]]

    this is log (only one line) for nmap online scanner execute by my pc

    2014:03:10-14:21:41 SOPHOS snort[11780]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="SOPHOS_IP" dstip="MyHostIp" proto="17" srcport="53" dstport="61948" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"


    now i have tryied to change policy to "terminate connection" but another time "snort coud not remove ...pid, snort exiting"

    i'll see if it works yet..
    i have restarted nmap online, then this is the live log


    Live Log: Intrusion Prevention System
    Filter: Autoscroll
    Reload
    2014:03:10-14:23:32 SophosUtm snort[23582]: ===============================================================================
    2014:03:10-14:23:32 SophosUtm snort[23582]: SIP Preprocessor Statistics
    2014:03:10-14:23:32 SophosUtm snort[23582]: Total sessions: 0
    2014:03:10-14:23:32 SophosUtm snort[23582]: ===============================================================================
    2014:03:10-14:23:32 SophosUtm snort[23582]: Could not remove pid file /var/run//snort_16000.pid: Permission denied
    2014:03:10-14:23:32 SophosUtm snort[23582]: Snort exiting
    2014:03:10-14:24:16 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="61929" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:24:31 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="52051" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:25:36 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="51793" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"
    2014:03:10-14:25:56 SophosUtm snort[23601]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="192.168.147.254" dstip="MyHostIp" proto="17" srcport="53" dstport="55361" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"


    instead the issue it's seems to work  (now with policy terminate connection) [[:)]]

    thanks for your support