This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Error

I have a freshly installed UTM 9 version 9.103-5 (Home use license). Last night I was trying to trouble shoot why an Xbox wouldn't work, and figure out it was due to the IPS. I was attempting to disable an IPS rule, and now the IPS won't work. I was using the web interface to do so: Network Protection -> IPS -> Advance -> Modify rules.

After doing so I lost all internet connection, and by looking in the logs I found this error in the IPS log:
utm snort[25135]: FATAL ERROR: /etc/snort/rules/astaro.rules(451) Unknown rule option: 'flow8to_client,established'.

I removed all the modifications I made in the web UI and stopped and restarted the IPS. It is still producing the same error. So I went as far to ssh into the box, modify the offending rule to have the correct option (flow:to_client,established), saved it and restarted. Well something keeps putting it back the the incorrect verbiage. So I ended up disable the rule to get the IPS to work.

The offending rule is:
drop tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"D BROWSER-PLUGINS VMWare VMCtl Class ActiveX function call access"; flow8to_client,established; file_data; content:"VmCOM.VmCtl"; fast_pattern[:$]nly; pcre:"/(?P\w+)\s*=\s*(\x22VmCOM\.VmCtl\x22|\x27VmCOM\.VmCtl\x27)\s*\x3b.*(?P\w+)\s*=\s*new\s*ActiveXObject\s*\(\s*(?P=c)\s*\)(\s*\.\s*GuestInfo\s*|.*(?P=v)\s*\.\s*GuestInfo\s*)|(?P\w+)\s*=\s*new\s*ActiveXObject\s*\(\s*(\x22VmCOM\.VmCtl\x22|\x27VmCOM\.VmCtl\x27)\s*\)(\s*\.\s*GuestInfo\s*|.*(?P=n)\s*\.\s*GuestInfo\s*)\s*\(/Osmi"; metadata[:P]olicy security-ips drop, service http; classtype:attempted-user; sid:11014613[;)]


This thread was automatically locked due to age.
Parents
  • Hi Bob, and thanks.

    An event like this:
     utm snort[4421]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="POLICY-SOCIAL XBOX Live Kerberos authentication request" group="247" srcip="192.168.0.13" dstip="65.55.42.54" proto="17" srcport="1257" dstport="88" sid="15169" class="Potential Corporate Privacy Violation" priority="1"  generator="1" msgid="0"


    is what lead me to disable the rules. This is also the one I tried to disable that cause things to go all upside down.

    Currently I have the offending rule and all Xbox rules disable to allow Xbox to work through the firewall. I just greped the rules file to find any Xbox related ones. Which BTW, would sure be nice if there was a better way to do all this.
Reply
  • Hi Bob, and thanks.

    An event like this:
     utm snort[4421]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="POLICY-SOCIAL XBOX Live Kerberos authentication request" group="247" srcip="192.168.0.13" dstip="65.55.42.54" proto="17" srcport="1257" dstport="88" sid="15169" class="Potential Corporate Privacy Violation" priority="1"  generator="1" msgid="0"


    is what lead me to disable the rules. This is also the one I tried to disable that cause things to go all upside down.

    Currently I have the offending rule and all Xbox rules disable to allow Xbox to work through the firewall. I just greped the rules file to find any Xbox related ones. Which BTW, would sure be nice if there was a better way to do all this.
Children
No Data