Hỏi về cách bảo vệ mạng LAN

[HTL]

Hi A/C diễn đàn WhiteHat.
Công ty em có 40 pc kết nối mạng qua ADSL Fpt. tất cả các máy dùng chung dãy DHCP nội bộ: 192.168.1.1-192.168.1.254. địa chỉ IP static public của e: 118.69.56.68

chỉ có PC, không có server nào.

khi các nhân viên cty truy cập vào website ví dụ: abc.vn thì website hiện lên capchar báo phải nhập capchar. em có liên hệ hỏi họ báo server họ dùng BitNinja's để bảo vệ website, họ xuất report cho em như sau:

Date: 2020-07-01 08:42:16

Attacker ip: 118.69.56.68

Severity label: highest
{
"PORT HIT": "118.89.56.68:55894->139.10.25.22:445",
"MESSAGES": "Array
(
[14:41:51] => u0000u0000u0000u009bÿSMBru0000u0000u0000u0000u0018SÈu0000u0000u0000u0000u0000u0000u0000u0000u0000u0000u0000u0000ÿÿÿþu0000u0000u0000u0000u0000xu0000u0002PC NETWORK PROGRAM 1.0u0000u0002LANMAN1.0u0000u0002Windows for Workgroups 3.1au0000u0002LM1.2X002u0000u0002LANMAN2.1u0000u0002NT LM 0.12u0000u0002SMB 2.002u0000u0002SMB 2.???u0000)
"
}
Họ báo đây không phải là virus mà do 1 phần mềm gì đó cố truy cập port 445 trang web nên BitNinja's chặn lại.

Em dùng phân mềm Bkav, Kaspersky, Malwarebyte scan hêt máy nhưng không báo virus. Em dùng Wireshark scan port nhưng củng không scan được 118.69.56.68:55894 , dùng cports scan cũng không scan ra

Hiện tại công ty e vào trang web nào có độ bảo mât cao là nó đòi nhập capchar hoăc ko cho kết nối

Các A/C tư vấn giúp em xem có cách nào giải quyết vấn đề này không. Em cám ơn nhiều ạ.

 

HI, bạn nên dùng 1 firewall trong mạng nội bộ để quản lý chiều in, out chỉ cho đi port 80 ,443, 25 bạn có thể dùng firewall là 1 PC chạy cài snort,pfsense lên làm firewall cũng được ko nhất thiết phải đầu tư thiết bị đỡ tốn kém, nhưng vẫn hiệu quả và giảm thiểu rủi ro

 

Cám ơn bạn,minh dùng Access Control Rule Management trong router ftp chặn mây port từ 2000-65535 mà sao nó chặn luôn truy cập các trang web

 

Cám ơn bạn,minh dùng Access Control Rule Management trong router ftp chặn mây port từ 2000-65535 mà sao nó chặn luôn truy cập các trang web

Mình hiểu đơn giản là: 118.89.56.68:55894 Ip của bạn đi ra bằng cổng 55894, và đến IP kia bằng cồng 445. Mà cồng 55894 đã bị bạn chặn trên modem rùi( 2000-65535)

 

Hi bạn có thể configure chặn any dest port 445 đỡ phải mò port làm gì ? Chỉ allow 443,80 thôi

 

Hi bạn có thể configure chặn any dest port 445 đỡ phải mò port làm gì ? Chỉ allow 443,80 thôi

Cám ơn bạn Sugi, mình chặn port 445, 139,137 thử xem thế nào, mình không hiểu cơ chế chặn port của router FPT nửa.
IP nội bộ vd: 131.107.5.6:4521 truy câp vào site abc.com.
thì khi đó bên site abc.com sẻ có file log như thế này: 118.89.56.68:4521->139.10.25.22:445
118.89.56.68:4521 đây là static puplic ip của mình
139.10.25.22:445 còn đây ip website của họ

vây trên router fpt minh chặn chỉ port 445 thôi hả, hk cần chặn port 4521 hả bạn

cám ơn bạn

 

Cám ơn bạn Sugi, mình chặn port 445, 139,137 thử xem thế nào, mình không hiểu cơ chế chặn port của router FPT nửa.
IP nội bộ vd: 131.107.5.6:4521 truy câp vào site abc.com.
thì khi đó bên site abc.com sẻ có file log như thế này: 118.89.56.68:4521->139.10.25.22:445
118.89.56.68:4521 đây là static puplic ip của mình
139.10.25.22:445 còn đây ip website của họ

vây trên router fpt minh chặn chỉ port 445 thôi hả, hk cần chặn port 4521 hả bạn

cám ơn bạn

Bạn xem configure chặn chiều out trên router thử nhé