Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 1155 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to monitor - I'm very new to firewalls

LATurk
I know next to nothing about firewalls.  
We have Astaro Security Gateway V6installed.  It was installed and is maintained by our Internet Provider. 
I  have looked through documentation but I am still not quite sure what I should be watching for.   The firewall is set up to send me email notifications and reports. 99% of the email notifications are for things like Multimedia WMA/WMV downloads which I know are ok. 

Some of the emails say the following:
An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future, set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.
Message: "SMTP MAIL FROM overflow attempt. 

Is there anything I can read or any tutorials that explain what to look for - what's important and what's not important?  

Thanks for any help you can give me.


This thread was automatically locked due to age.
Parents
  • 0
    you can find the specific alert here. If you want to block that alert then you have to go to the advance tab and enter the ID of the attack (check the log and you will find it) and set it to drop. I am a new user as well and the forum+ kb is really helpful
  • 0 in reply to wingman
    Thanks for your response - But if I enter the ID of that attack so I do not receive notifications, what happens if a real attack of that type comes along? I suppose if a real attack hit us, we would know if but I'm just wondering what I should be looking at.  What report/graph, etc...could I look at and know everything is good - or something looks bad here.  I haven't been able to find anything that explains this.
  • 0 in reply to LATurk
    setting the rule on the advanced tab as dropped doesn't mean you won't get notifications.You can see an overview of the attacks if you go to network security and then you will see 
    IPS: Top blocked attacks and below that IPS: Top attackers. There is also the log (Intrusion Protection System ).
  • 0 in reply to wingman
    We have Astaro Security Gateway V6installed. It was installed and is maintained by our Internet Provider.

    Wingman, the IDS is setup a little different in v6. LATurk, sometimes the alert is generated by your own mail server. Just make sure that your mail server is listed under Intrusion Protection >> Advanced >> performance tuning >>SMTP server. That way you won't get the alerts for your own mail server since the IDS will know that your own mail server is not trying to hack your firewall. All the other alerts can be toggled under Intrusion Protection >>Rules. 

    In the mean time, it will be a good idea to learn the basics of astaro v6 under  Astaro Knowledgebase .

    I have looked through documentation but I am still not quite sure what I should be watching for
     Here is a kb article just for you http://portal.knowledgebase.net/display/2/kb/article.asp?aid=117568

    Also please make sure that you don't mess with a production firewall if you don't understand it completely. It can have consequences that will land you in a hot seat faster than anything else at your work place.[:)]
Reply
  • 0 in reply to wingman
    We have Astaro Security Gateway V6installed. It was installed and is maintained by our Internet Provider.

    Wingman, the IDS is setup a little different in v6. LATurk, sometimes the alert is generated by your own mail server. Just make sure that your mail server is listed under Intrusion Protection >> Advanced >> performance tuning >>SMTP server. That way you won't get the alerts for your own mail server since the IDS will know that your own mail server is not trying to hack your firewall. All the other alerts can be toggled under Intrusion Protection >>Rules. 

    In the mean time, it will be a good idea to learn the basics of astaro v6 under  Astaro Knowledgebase .

    I have looked through documentation but I am still not quite sure what I should be watching for
     Here is a kb article just for you http://portal.knowledgebase.net/display/2/kb/article.asp?aid=117568

    Also please make sure that you don't mess with a production firewall if you don't understand it completely. It can have consequences that will land you in a hot seat faster than anything else at your work place.[:)]
Children