收到上級單位來函通知,5月15日本公司某電腦與駭客使用之中繼站連線,
該IP:61.222.164.46,請我們處理,請問:
1)我要如何查詢5月15日下午5:09之記錄,想確定是那台電腦去連線?
2)如何防止公司同事與駭客之中繼站連線?
3)手上已有大量的中繼站資料,請問如何設定阻隔?
我們使用的防火牆是ZyXEL5.0,網路交換器D-link DS-1226G,
卡巴斯基防毒之管理主機(可否透過群組原則),
mail-server碩琦的Squadron X50R M3.
1)我要如何查詢5月15日下午5:09之記錄,想確定是那台電腦去連線?
防火牆應該有可以查到相關的Log。
2)如何防止公司同事與駭客之中繼站連線?
是該台電腦中毒或被植木馬...相關問題才造成嗎?還是人為故意?若是中毒,就是掃毒跟修補漏洞,若是人為,你在前端做再多事,還是一樣會發生相同狀況。
3)手上已有大量的中繼站資料,請問如何設定阻隔?
防火牆設定Block掉那些中繼站的IP,當然也要確定是不正常的IP,若那些中繼站也是被當跳板,那Block掉那些IP,可能會造成業務上問題。
若你不大懂怎麼設定,建議找個SI來幫忙吧。
花錢消災,省事快速。
不過使用者的習慣及資安觀念也要教育,不然過不就應該還是會發生。
1 只要有紀錄就一定可以查,
大部分的防火牆紀錄應該都是文字檔,
可透過 find 指令(或 grep ,速度比 find 快很多!)進行特定 IP 紀錄之過濾篩選!
2 作法相當多,花錢建置閘道安全過濾機制最快!
不花錢又要有效的方法也有!
詳細做法可參考小弟在資安論壇的一篇文章:
[分享]善用趨勢科技 WTP Add-On 來阻斷單位內部Botnet傀儡網路的連線
http://forum.icst.org.tw/phpbb/viewtopic.php?f=8&t=16524
3 用 DNS 進行控管!
直接於內網之 DNS 建立所有中繼網域紀錄,
並將IP指向內部不存在之IP(若不想進行問題用戶端之紀錄),
或指向內部一台有啟動WEB服務之主機或指向DMZ區段的IP(若需進行問題用戶端之紀錄),
但內網DNS查詢一定要控管不允許用戶端直接查詢外部DNS才有效果!
謝謝您的回應:
1)請問find指令要如何下,搜尋目標是定義,我電腦是WindowsVista.
2)您推薦的WTP Add-On是要錢的嗎,我們家在用卡巴防毒有衝突嗎?.
花錢建置閘道安全過濾機制要多少錢,我們公司只有20人.
3)DNS控管,我已經在做了,但並沒有新的中繼站網域名稱,
不曉得那裏可以找到最新的名單.
1)find "61.222.164.46" logfilename > Auditlist.txt
2)WTP Add-On 可以免使用一年
因為 WTP Add-On 本身不是防毒軟體,
應該不會跟其他防毒軟體有所衝突,
不過還是要實機安裝後才知道有無相容性問題!
硬體閘道過濾器都要花費不少錢,
包括日後的Pattern Subscription 費用都高得嚇人!
若貴公司只有20人,
建議用軟體式的IWSS(趨勢科技)進行管制及過濾,
只是內部網路的proxy架構要做調整,
3)不過如果您有使用 WTP Add-On 或 OpenDNS 在進行過濾,
基本上就不需要自己刻意收集清單然後個別再DNS設定組檔,
不太建議自己花時間辛苦收集中繼網域清單然後在個別設定DNS阻擋,
因為這種上其實非常沒有效率,
花很多時間但對問題的改善卻很有限!