Block Sasser Worm

Sasser is using ports 445 (CIFS, a newer Microsoft networked file system), 5554, and 9996.
So if you have only explicitly permitted other ports like HTTP, HTTPS, etc., (as you should anyway; it's called "Default Deny" security strategy) or used the proxies and enabled few if any ports, you should be fine.

Keep in mind, though: That's the way the virus is now. Things start to get fun when somebody lifts the code and puts it in Email or web content. Then you have to fall back to Email or web virusscans, which might not catch an unpopular variant right away. So besides making sure that your scanning technology is up to date, a longer term sttrategy you should be following is that your browser and mail clients should be reviewed to ensure that it is difficult for such content to slip in. It's not happening yet, but it will; if not with a variant of this virus, another one...

Hi Secapp

Thanks for the reply.
I think I can understand deny by default if did not allow.

But I did not purposely allow HTTP, POP etc traffic and yet I can surf as per normal just like behind those Linksys Routers etc.

Just to confirm, did I do something wrong ?
Or it is fine as it is now with only Masquerading rule.

 [:S]

quick question...is there anyway to filter the logs/graphs so that we can see how many hits we are getting on those ports?

thanks

asher 

Then it sounds like you are relying on the proxies, and have no need of additional rules. Astaro is Default Deny upon install...

As for filtering, the log data would need to be demited or encoded; then you could load it into a data parsing tool.

Anyone: Are logs XML format in version 5?

Forgot to mention: if you must use chat, use a proxy device or software that regulates Content/file transfers through chat and prevents buffer exploits (Chat software quality standards are generally atrocious!). And P2P should be avoided; but if you must have it, confine such apps to a simple workstation with no sensitive info on a seperate DMZ segment going out a seperate interface on the firewall; content can be imported from these machines on media that has been scanned for viruses, But again, virus scanning is imperfect; it can only find malicious code that's popular, so you are better off avoiding the P2P altogether in the first place...

The other thing I would strongly recommend would be to implement your POP3 proxy and block email with executable attachments.  The list of what comprises an executable attachment is dizzyingly long, but the list of extensions that are commonly in use isn't. . .if you block all *.com, *.bat, *.exe, *.pif, *.vbs, *.scr, * cpl, and *.hta you'll get everything but the infected ZIP files that I've seen so far.  For a more complete list of executable file extensions, see   http://antivirus.about.com/library/blext.htm   or google on "executable file extensions."

Of course, both NetSky and Beagle are compressing their worms in ZIP files for about 35-40% of the stuff I'm seeing; it's gotten bad enough that I am actually blocking ZIP files too, then manually extracting the rare one I actually need.  It's a pain, but if you don't like viruses & worms, I'm afraid it's a necessary pain.

Cheers,

Dan