Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block Sasser Worm

Alvin
Currently according to Dshield and Symantec, F-Secure, Sophos and Mcafee, there is a new Sasser Worm spreading.

I am new to a firewall and currently 2 NIC is used with masquerading configured. There is no dmz, port forwarding etc. Nothing in the rules.

Is there anything I need to do on the firewall to block this attack on Astaro ?

Thanks for all advice.
I am using V4021 


This thread was automatically locked due to age.
Parents
  • 0
    Sasser is using ports 445 (CIFS, a newer Microsoft networked file system), 5554, and 9996.
    So if you have only explicitly permitted other ports like HTTP, HTTPS, etc., (as you should anyway; it's called "Default Deny" security strategy) or used the proxies and enabled few if any ports, you should be fine.

    Keep in mind, though: That's the way the virus is now. Things start to get fun when somebody lifts the code and puts it in Email or web content. Then you have to fall back to Email or web virusscans, which might not catch an unpopular variant right away. So besides making sure that your scanning technology is up to date, a longer term sttrategy you should be following is that your browser and mail clients should be reviewed to ensure that it is difficult for such content to slip in. It's not happening yet, but it will; if not with a variant of this virus, another one...
  • 0 in reply to SecApp
    Hi Secapp

    Thanks for the reply.
    I think I can understand deny by default if did not allow.

    But I did not purposely allow HTTP, POP etc traffic and yet I can surf as per normal just like behind those Linksys Routers etc.

    Just to confirm, did I do something wrong ?
    Or it is fine as it is now with only Masquerading rule.

     [:S]
Reply
  • 0 in reply to SecApp
    Hi Secapp

    Thanks for the reply.
    I think I can understand deny by default if did not allow.

    But I did not purposely allow HTTP, POP etc traffic and yet I can surf as per normal just like behind those Linksys Routers etc.

    Just to confirm, did I do something wrong ?
    Or it is fine as it is now with only Masquerading rule.

     [:S]
Children
  • 0 in reply to Alvin
    quick question...is there anyway to filter the logs/graphs so that we can see how many hits we are getting on those ports?

    thanks

    asher 
  • 0 in reply to Alvin
    Then it sounds like you are relying on the proxies, and have no need of additional rules. Astaro is Default Deny upon install...

    As for filtering, the log data would need to be demited or encoded; then you could load it into a data parsing tool.

    Anyone: Are logs XML format in version 5?