Hỏi về cách bảo vệ mạng LAN

Thảo luận trong 'Hỏi đáp' bắt đầu bởi HTL, 23/10/20, 04:10 PM.

  1. HTL

    HTL New Member

    Tham gia: 23/10/20, 04:10 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Hi A/C diễn đàn WhiteHat.
    Công ty em có 40 pc kết nối mạng qua ADSL Fpt. tất cả các máy dùng chung dãy DHCP nội bộ: 192.168.1.1-192.168.1.254. địa chỉ IP static public của e: 118.69.56.68

    chỉ có PC, không có server nào.

    khi các nhân viên cty truy cập vào website ví dụ: abc.vn thì website hiện lên capchar báo phải nhập capchar. em có liên hệ hỏi họ báo server họ dùng BitNinja's để bảo vệ website, họ xuất report cho em như sau:

    Date: 2020-07-01 08:42:16

    Attacker ip: 118.69.56.68

    Severity label: highest
    {
    "PORT HIT": "118.89.56.68:55894->139.10.25.22:445",
    "MESSAGES": "Array
    (
    [14:41:51] => u0000u0000u0000u009bÿSMBru0000u0000u0000u0000u0018SÈu0000u0000u0000u0000u0000u0000u0000u0000u0000u0000u0000u0000ÿÿÿþu0000u0000u0000u0000u0000xu0000u0002PC NETWORK PROGRAM 1.0u0000u0002LANMAN1.0u0000u0002Windows for Workgroups 3.1au0000u0002LM1.2X002u0000u0002LANMAN2.1u0000u0002NT LM 0.12u0000u0002SMB 2.002u0000u0002SMB 2.???u0000)
    "
    }
    Họ báo đây không phải là virus mà do 1 phần mềm gì đó cố truy cập port 445 trang web nên BitNinja's chặn lại.

    Em dùng phân mềm Bkav, Kaspersky, Malwarebyte scan hêt máy nhưng không báo virus. Em dùng Wireshark scan port nhưng củng không scan được 118.69.56.68:55894 , dùng cports scan cũng không scan ra

    Hiện tại công ty e vào trang web nào có độ bảo mât cao là nó đòi nhập capchar hoăc ko cho kết nối

    Các A/C tư vấn giúp em xem có cách nào giải quyết vấn đề này không. Em cám ơn nhiều ạ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 368
    Đã được thích: 283
    Điểm thành tích:
    63
    HI, bạn nên dùng 1 firewall trong mạng nội bộ để quản lý chiều in, out chỉ cho đi port 80 ,443, 25 bạn có thể dùng firewall là 1 PC chạy cài snort,pfsense lên làm firewall cũng được ko nhất thiết phải đầu tư thiết bị đỡ tốn kém, nhưng vẫn hiệu quả và giảm thiểu rủi ro
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HTL

    HTL New Member

    Tham gia: 23/10/20, 04:10 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Cám ơn bạn,minh dùng Access Control Rule Management trong router ftp chặn mây port từ 2000-65535 mà sao nó chặn luôn truy cập các trang web
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Phạm Văn Chinh

    Phạm Văn Chinh Member

    Tham gia: 09/08/19, 11:08 AM
    Bài viết: 14
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình hiểu đơn giản là: 118.89.56.68:55894 Ip của bạn đi ra bằng cổng 55894, và đến IP kia bằng cồng 445. Mà cồng 55894 đã bị bạn chặn trên modem rùi( 2000-65535)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 368
    Đã được thích: 283
    Điểm thành tích:
    63
    Hi bạn có thể configure chặn any dest port 445 đỡ phải mò port làm gì ? Chỉ allow 443,80 thôi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. HTL

    HTL New Member

    Tham gia: 23/10/20, 04:10 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Cám ơn bạn Sugi, mình chặn port 445, 139,137 thử xem thế nào, mình không hiểu cơ chế chặn port của router FPT nửa.
    IP nội bộ vd: 131.107.5.6:4521 truy câp vào site abc.com.
    thì khi đó bên site abc.com sẻ có file log như thế này: 118.89.56.68:4521->139.10.25.22:445
    118.89.56.68:4521 đây là static puplic ip của mình
    139.10.25.22:445 còn đây ip website của họ

    vây trên router fpt minh chặn chỉ port 445 thôi hả, hk cần chặn port 4521 hả bạn

    cám ơn bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 368
    Đã được thích: 283
    Điểm thành tích:
    63
    Bạn xem configure chặn chiều out trên router thử nhé
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. lohoagiay
  2. Iwanareset
  3. HuyNHM
  4. Iwanareset
  5. huyhuy1134