Hallo!
Seit heute morgen funktioniert IPS nicht mehr.
Das Update von IPS geht nicht und auch der Dienst IPS läuft nicht.
Dies passiert nach 5 Minuten, wenn der Firewall am Internet hängt.
Gruß
Armin
IPS funktioniert nicht mehr
-
-
Hallo,
was sagt das Log ?
Sind die patterns defekt ?
-
Das Log zeigt an:
2023-06-16 18:39:53
snort[4432]: [1:2013936:5] ET POLICY SSH banner detected on TCP 443 likely proxy evasion [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 167.99.40.107:443 -> 192.168.1.31:38496Was ich versucht habe:
Endian neu zu installieren. Ich habe eine Config vom 27.2.2023.
Dort funktionert IPS auch richtig.
Wenn ich ein Update von IPS mache, dann fällt IPS aus.
-
Hier noch das Log vom System:
Jun 19 17:48:45 snort[4730] Max Response Length: 256 Jun 19 17:48:45 snort[4730] SMTP Config: Jun 19 17:48:45 snort[4730] Ports: 25 587 691 Jun 19 17:48:45 snort[4730] Inspection Type: Stateful Jun 19 17:48:45 snort[4730] Normalize: EXPN RCPT VRFY Jun 19 17:48:45 snort[4730] Ignore Data: No Jun 19 17:48:45 snort[4730] Ignore TLS Data: No Jun 19 17:48:45 snort[4730] Ignore SMTP Alerts: No Jun 19 17:48:45 snort[4730] Max Command Line Length: Unlimited Jun 19 17:48:45 snort[4730] Max Specific Command Line Length: Jun 19 17:48:45 snort[4730] ETRN:500 EXPN:255 HELO:500 HELP:500 MAIL:260 Jun 19 17:48:45 snort[4730] RCPT:300 VRFY:255 Jun 19 17:48:45 snort[4730] Max Header Line Length: Unlimited Jun 19 17:48:45 snort[4730] Max Response Line Length: Unlimited Jun 19 17:48:45 snort[4730] X-Link2State Alert: Yes Jun 19 17:48:45 snort[4730] Drop on X-Link2State Alert: No Jun 19 17:48:45 snort[4730] Alert on commands: None Jun 19 17:48:45 snort[4730] Alert on unknown commands: No Jun 19 17:48:45 snort[4730] SMTP Memcap: 838860 Jun 19 17:48:45 snort[4730] MIME Max Mem: 838860 Jun 19 17:48:45 snort[4730] Base64 Decoding: Enabled Jun 19 17:48:45 snort[4730] Base64 Decoding Depth: 1460 Jun 19 17:48:45 snort[4730] Quoted-Printable Decoding: Enabled Jun 19 17:48:45 snort[4730] Quoted-Printable Decoding Depth: 1460 Jun 19 17:48:45 snort[4730] Unix-to-Unix Decoding: Enabled Jun 19 17:48:45 snort[4730] Unix-to-Unix Decoding Depth: 1460 Jun 19 17:48:45 snort[4730] Non-Encoded MIME attachment Extraction: Enabled Jun 19 17:48:45 snort[4730] Non-Encoded MIME attachment Extraction Depth: 1460 Jun 19 17:48:45 snort[4730] Log Attachment filename: Not Enabled Jun 19 17:48:45 snort[4730] Log MAIL FROM Address: Not Enabled Jun 19 17:48:45 snort[4730] Log RCPT TO Addresses: Not Enabled Jun 19 17:48:45 snort[4730] Log Email Headers: Not Enabled Jun 19 17:48:45 snort[4730] DNS config: Jun 19 17:48:45 snort[4730] DNS Client rdata txt Overflow Alert: ACTIVE Jun 19 17:48:45 snort[4730] Obsolete DNS RR Types Alert: INACTIVE Jun 19 17:48:45 snort[4730] Experimental DNS RR Types Alert: INACTIVE Jun 19 17:48:45 snort[4730] Ports: Jun 19 17:48:45 snort[4730] 53 Jun 19 17:48:45 snort[4730] Jun 19 17:48:45 snort[4730] Jun 19 17:48:45 snort[4730] +++++++++++++++++++++++++++++++++++++++++++++++++++ Jun 19 17:48:45 snort[4730] Initializing rule chains... Jun 19 17:48:45 snort[4730] WARNING: /var/signatures/snort/processed/auto/emerging-activex.rules(192) threshold (in rule) is deprecated; use detection_filter instead. Jun 19 17:49:12 snort[4730] FATAL ERROR: /var/signatures/snort/processed/custom/browser-chrome.rules(7) ***PortVar Lookup failed on '$FILE_DATA_PORTS'. -
Hallo,
vermute hier das die Pattern die da kommen, defekt sind.
Es ist ja nun eine Zeit vergangen, ist das Problem immer noch vorhanden?
-
Das Problem besteht seit 16.5.2023.
Ein Update der IPS Datenbank funktioniert nicht.
Die neue Datenbank wird nicht geladen.