four infected pc's, and no alarm from astaro IPS

Is IPS turned on?

yep it is :-)

Hi,

why should IPS send notifications? The worm wants to go from a different port on your clients to a specific one on destination's side. He we're have to use skype again and so I can see every day IPS working fine. The traffic to the bn master should be blocked by default if you don't have a rule allowing to connect to this port.

Or is there an Any-Rule in your rule set? What does the live log says?
-- 
MfG, Steffen

I was under the impression that the IPS module would scan outgoing traffic for patterns that identity certain worms/virusses/trojans, etc. So if this traffic is typical worm traffic (which I'm guessing it is) it should be detected AND blocked..? But it's neither detected nor blocked.

I have an any rule, yes: I allow any traffic to outside (except specific stuff), and all replies in.

I'm guessing I misunderstood how the IPS module works?

You are right, there are some rules that scan outbound traffic; either there aren't any rules available for that particular Worm, or they aren't in the current ruleset that Astaro distributes... or yours was a variant that doesn't match up with the IPS patterns at all.  If this is a commercial installation, I recommend starting a case with Astaro support to investigate further.

Bruce, perhaps I have been laboring uder a misconception, but I had understood that putting "Internal (Network)" in 'Local networks' of 'Global IPS settings' would exempt outbound traffic originating in the internal network from IPS checks.  I thought that the only protection in that case was for traffic with a destination IP in 'Internal (Network)'.  I haven't seen that written explicitly - I just made that assumption.  Am I confused?

Cheers - Bob

Bob, it depends on how the rule is written.  There is a need to identify the protected networks (internal) so that the Snort engine applies the rules properly to the datastream.  I've had several clients who have had users bring their laptops in (after using them from home, letting their kids--at least that's who they blame--play on the thing) and plug them into the internal corp. network, and bammo, I get a ton of notifications on my monitoring console showing the malware on the laptops trying to phone home...  after a dose of Malwarebytes, etc. FDISK problem is solved; the Astaro makes it easy to find them because it logs the source IP, etc...  I go for the laptop users first, they are almost always the cause.

Hi,
I think the following quote identifies the problem.

"I have an any rule, yes: I allow any traffic to outside (except specific stuff), and all replies in."

Please provide you packet filter list.

From your post you appear to have a rule that lets traffic in, this is not required. The firewall will automatically setup rules for return traffic for each outgoing session and drop the rules at completion of the session.

Regards
Ian M

Ian, I think Jan is pretty knowledgable, so I inferred that he meant he wasn't explicitly dropping any inbound responses.

Bruce, I remember seeing alerts on traffic from infected laptops to internal devices, but I can't think of any alerts I've seen for traffic to external IPs.  Can anyone suggest a safe way to test this?

Thanks - Bob

Bob,
I suspect you are correct seeing his join date is 2003.

Just it is a funny way to express filter rules.

Ian M