Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1683 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Security?

clickmike
Hi,

I have two questions.

1. The network security reporting feature shows you a graph with violations. How can I drill down and see what the offending IP is and what ports are trying to connect?

2. Is there a way to setup the ASG to deny all outgoing unless explicitly allow for outgoing ports?

For the most part the ASG seems to be pretty good for security but I just found that one machine on the network that was connecting to the outside via port 7212, P2P out of China, without anyone's intervention or knowledge nor was it setup to do this on the machine nor the router. Obviously the machine has become compromised and is being used by a P2P site for sharing without our knowledge. If all ports were closed until opened by the administrator this initial violation would not have occurred.

I wonder how many more ports are being exploited without my knowledge?

Thanks,
Mike


This thread was automatically locked due to age.
Parents
  • 0
    1. 'Reporting >> Network Security' - 'Packet Filter' and 'IPS' tabs

    2. This is the way it's delivered.  With the proper configuration, most business uses need no ports opened to the outside or inside.  Outbound usually goes via a proxy, and inbound is handled by the connection tracker, conntrac.

    Maybe you could show your list of PF rules and tell us which proxies you have active.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    There must be some ports open by default so that you can do things right out of the box.

    I only have a couple outgoing ports open in my PF rules so it cannot be this.

    I did more investigation and it looks like it was a TV show that someone was watching, so streaming media - audio & video, mush be set to allowed out of the box. The way this seemed to work was that even though the individual thought they were watching a video it open a P2P port and seemed to share the feed that they were receiving, similar to a torrent even thought it was not advertised as a torrent, it was a live feed to watch an archived TV episode that then was relayed and shared with the community. This is a new tactic that I have not seen before but it's being done.

    I think it's a good idea for content delivery especially for this type of media but I think it is still a security risk as it leave you computer open as a proxy for others to use and you don't have control over the content that is flowing.

    Mike
  • 0 in reply to clickmike
    You must have stepped through the wizard or otherwise allowed access outbound somehow, because as Bob said, by default the only PF rule is the default deny all.  Traffic flow can be enabled in various ways, including by use of packet filter or enabling a proxy.  If you have no PF rules, but enable the HTTP/S proxy, that will allow web access per the proxy rules (not per PF rules).

    There are rules allowing access *to* the Astaro WebAdmin in a clean install, and rules allowing the Astaro to retrieve patterns, reputation lookups for web and email, etc.
  • 0 in reply to Jack Daniel
    Hi,

    Maybe I need to clarify something first, so that I understand how this appliance works.

    Let me start by saying that you are right, the PF is not the culprit but the proxy.

    In order for me to take advantage of some of the security (AntiVirus, File Extensions) and filtering (Content) I need to use the proxy, is this correct? 

    In the advanced tab Streaming settings are set by default allowed.

    BUT, the streaming behavior that I saw changed things to act like a P2P on a known P2P port so shouldn't it be blocked even though it's streaming media? Streaming media is one thing and I can deal with it but turning my machine, without my knowledge, into a proxy to deliver your content ( and from China ), is a totally different thing that is a huge security risk. 

    Is there a way for me to protect ports, say even on a first time use and if they are okay'd by the admin then then can be used going forward? Is there a way of approving connections by country? 

    Mike
Reply
  • 0 in reply to Jack Daniel
    Hi,

    Maybe I need to clarify something first, so that I understand how this appliance works.

    Let me start by saying that you are right, the PF is not the culprit but the proxy.

    In order for me to take advantage of some of the security (AntiVirus, File Extensions) and filtering (Content) I need to use the proxy, is this correct? 

    In the advanced tab Streaming settings are set by default allowed.

    BUT, the streaming behavior that I saw changed things to act like a P2P on a known P2P port so shouldn't it be blocked even though it's streaming media? Streaming media is one thing and I can deal with it but turning my machine, without my knowledge, into a proxy to deliver your content ( and from China ), is a totally different thing that is a huge security risk. 

    Is there a way for me to protect ports, say even on a first time use and if they are okay'd by the admin then then can be used going forward? Is there a way of approving connections by country? 

    Mike
Children
No Data