Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 806 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

7.011 Could not access Remote Access Tab in Portal

Scott_Klassen
This is an FYI in case anyone else runs into this issue.
 
I was setting up the user portal for remote employees to use. Added the appropriate hosts/networks to the allowed list for the Portal. Could log into the Portal just fine either using our existing VPN solution or over the net (temporary to allow the remote staff to download the VPN files). The only problem was that when the Remote Access Tab was clicked, it would freeze up the session. Remote Access page wouldn't come up and could no longer navigate to other Portal sections. 
 
What was happening was that IPS was kicking in and triggering rule 8428: "WEB-MISC SSLv2 openssl get shared ciphers overflow attempt", when attempting to access the Remote Access section. By default this rule drops packets, which also had the effect of killing the user session to the Portal. My fix was to change the behavior of the rule to alert only, but the rule could also be disabled or I could have created IPS exceptions for the appropriate hosts/networks involved
 
Just a handy little tip that may help someone else in future.


This thread was automatically locked due to age.
Parents
  • 0
    It looks like that setting is missing in version 7.X. If I select Network Security>Intrusion Protection>Attack Patterns you don't get an option to modify rules by the rule number. Looking e-mail the box sent me for that violation, there is a rule number given but you have to go into advanced and write a blind modify rule because there is no access given to actually view the Snort rule directly. 
     What am I missing here? Shouldn't there be some kind of verification the correct rule is being modified? Sure would be nice to be able to browse the snort config or rule set.
     It also appears this has been going on for some time. Shouldn't the Astaro box be able to differentiate between an attack and someone attempting to access their own download tab? Could it be an oversight or a bug?
Reply
  • 0
    It looks like that setting is missing in version 7.X. If I select Network Security>Intrusion Protection>Attack Patterns you don't get an option to modify rules by the rule number. Looking e-mail the box sent me for that violation, there is a rule number given but you have to go into advanced and write a blind modify rule because there is no access given to actually view the Snort rule directly. 
     What am I missing here? Shouldn't there be some kind of verification the correct rule is being modified? Sure would be nice to be able to browse the snort config or rule set.
     It also appears this has been going on for some time. Shouldn't the Astaro box be able to differentiate between an attack and someone attempting to access their own download tab? Could it be an oversight or a bug?
Children
  • 0 in reply to kwyrick
    That rule is a pretty well known cause of false positives, at least in my organization.  It's one of the few rules that gets disabled during configuration.

    While you can edit rules by the rule number (just add the SID in the advanced tab and configure alert / drop options, etc.) I think I understand your complaint; you want to see the actual rule, as we could in Version 6... well, due to performance problems (I think the problems with modify large rulesets in Version 6 are pretty well known to those who've used this product a while, with Webadmin timing out etc.), they changed the way this operates.  I've too lobbied for an "advanced admin" tab or button where I can see the rules in a similar way that I did in Version 6, don't have any idea if they're going to implement something like that.  I've adjusted to the way things are right now, it's actually not bad.  I would, however, like to see the ability to add custom rules come back.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner