Tag Archives: IPS

Exchange Server Hafnium Exploit

5 Comments

Unternehmen stellen häufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook über eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) für den Zugriff aus dem Internet für Ihre Mitarbeiter zur Verfügung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern über das Internet-Protokoll https auf Port 443.
Dieser Artikel bietet einen Einstieg in die Thematik, listet weitere Quellen und zeigt die Möglichkeiten, die Sie zum Schutz Ihrer Systeme mithilfe der Security Services einer WatchGuard Firewall zur Verfügung haben.

Weiterlesen »

IPS Signature Update Probleme mit Firmware 12.6.x (update)

Comment

Update 2020-10-08:

Es gibt ein neues IPS_Pattern (18.114), das Problem ist gelöst.

 

Aktuell scheint es Probleme beim Download eines IPS-Signatur-Updates zu geben.

Nach unseren Tests tritt dies nur in Verbindung mit 12.6.x auf.

 

 

 

 

 

 

 

Die Signatur-Anzeige hat bereits das “neue” Format: 18.113

 

 

 

 

Auf eine Box mit 12.5.4 mit dem “alten” Format: 4.1084 funktioniert derzeit das Pattern Update problemlos.

 

 

 

 

 

 

Wir gehen davon aus, dass sich das Problem von selbst löst, sobald das nächste Pattern zur Verfügung gestellt wird.

 

 

Update aus einem CASE bei WatchGuard:

Thanks for the detailed case description! The checksum error you’re encountering with IPS downloads on 12.6+ devices is a known issue we are currently having with signature version 18.113. It has been relayed to our engineering team and we are actively working towards resolving it.

Swyxit! IPS false positive

Comment
Setup:

SwyxIt!-Softphone greift auf Swyx-TK-Anlage via BOVPN-Tunnel zu.

Symptom:

Swyxit Softphone Client zeigt keinen Status nach Login.

Beobachtung:

auf der Firewall sind folgende Log-Einträge zu sehen:

2020-09-07 10:14:43 Deny 10.xxx.xxx.xxx 10.xxx.yyy.zzz sip/udp 5070 5060 [...] IPS detected [...] proc_id="firewall" rc="301" msg_id="3000-0150" 
src_ip_nat="10.xxx.xxx.xxx" signature_name="SIP Digium Asterisk SIP CSeq Heap Buffer Overflow (CVE-2017-937" 
signature_cat="Buffer Over Flow" signature_id="1133858" severity="4" [...]

Scheinbar triggert der Swyx-Client hier beim Verbindungsaufbau zur Swyx-TK-Anlage gelegentlich das IPS.

Abhilfe:
  • Policy-Manager
    => Subscription-Services
    => [Exceptions] => Entsprechende ID einfügen => ADD => OK => OK
    => Policy auf Firewall schreiben.

Known Issue: Intrusion Prevention Service (IPS) false positive – Signature ID: 1134424

Comment

WatchGuard hat bekannt gegeben, dass der Intrusion Prevention Service (IPS) derzeit einen “Known Issue” aufweist, also ein bekanntes Problem. Dies betrifft die Signature ID 1134424: Die WatchGuard-Firewall erkennt hier fälschlicherweise eine Sicherheitslücke, die gar nicht vorhanden ist (false positive).

Weiterlesen »