Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 0 replies
  • Subscribers 37 subscribers
  • Views 2246 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Ausnahme wird nicht angewendet

herzadmi
Hallo Leute,

ich habe hier ein Problem bei einer Hardware-UTM mit Version 9.313.
Dort läuft die Networkprotection mit IPS.

Ein interner Server (10.1.1.1) empfängt eingehende Datenpakete von extern (87.13.147.245) und dort kommt es vor, dass IPS zuschlägt. Die Anwendung, die diese Pakete empfängt hängt sich dadurch auf und man muss die Anwendung neustarten.

Ich habe für diesen speziellen Fall eine IPS Exception eingerichtet, aber obwohl meiner Meinung nach alle Parameter korrekt sind, greift sie nicht.
Deswegen musste ich jetzt IPS deaktivieren.
Kann sich das jemand erklären? Das Problem bestand auch schon vor dem Update auf 9.313.

Unten die geloggten IPS Meldungen, im Screenshot die Ausnahme-Regel.


## Wird geblockt obwohl Ausnahme existiert! ##

2015:06:23-09:17:35 utm01 snort[2949]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="87.13.147.245" dstip="10.1.1.1" proto="6" srcport="110" dstport="11471" sid="17134" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"
2015:06:23-10:33:56 utm01 snort[2949]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="87.13.147.245" dstip="10.1.1.1" proto="6" srcport="110" dstport="16611" sid="17134" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"
2015:06:23-10:52:59 utm01 snort[2949]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="87.13.147.245" dstip="10.1.1.1" proto="6" srcport="110" dstport="18746" sid="17134" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

2015:06:25-14:10:11 utm01 snort[25610]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OTHER Microsoft Office ole object external file loading attempt" group="310" srcip="87.13.147.245" dstip="10.1.1.1" proto="6" srcport="110" dstport="10836" sid="32313" class="Attempted Administrator Privilege Gain" priority="1" generator="1" msgid="0" 

2015:06:25-16:59:46 utm01 snort[25610]: Snort exiting 


This thread was automatically locked due to age.
Unfiltered HTML