Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2299 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Edit IPS Rules

sargehendricks
Hello Everyone,

I have recently begun having issues connecting to a web-conference service that I am often asked to connect to.  After some investigation, it appears IPS rule 33777 is getting triggered by this web-conference service now.  This did not used to be the case.  Obviously, I can simply disable the rule, but I was wondering if it is possible to edit the rule.

I setup an exception to allow the HTTPS traffic to my laptop, but that didn't have any effect on the IPS triggering.  I would rather not completely disable the rule, but right now, that seems to be my only option.

Thanks


This thread was automatically locked due to age.
  • 0
    UTM does not allow for manually editing the details of a rule.  You can try changing the Action for the Rule from Drop to Alert.
  • 0
    Is it possible to edit the rules outside of UTM?  I don't want the entire network opened up to the event.  I just want my machine to be able to use this web-conference.  I tried the exception first, but that didn't seem to make any difference.

    I find it odd that a security-centric device/software only gives you an on/off option for something like this.
  • 0
    Is it possible to edit the rules outside of UTM?
    If you want more granular control, you'd need to install snort on some other device, then you would have complete control.  With UTM the choices are Drop/Alert/Disable only for individual rules.
  • 0
    Okay.  Thanks for the info.

    I did discover something in troubleshooting today, however.  I'm not sure if this is a bug or expected behavior, but...

    I went through the process of identifying the most-used IPs for this web-conference service.  I added them as hosts in the system, and created an exception rule which excepted IPS for traffic from those hosts, to my laptop, using HTTPS.  The exception had no effect.  BUT, if I removed those hosts from the source networks box and added "Any" or "Any IPv4", the exception worked.

    So, is there some reason that IPS will not except IPS enforcement on specific source networks, but it will for "Any" or "Any IPv4"?  I even tried putting the hosts into a group to see if UTM liked a single object in the rule better.
  • 0
    Sarge, the correct response in your situation is not an Exception, but the disabling of that rule.

    Cheers - Bob
  • 0
    Thank you for the response everyone.  I'll disable it this morning.