Hạn chế để trở thành Zombie...

Hệ thống đặt ra
Hệ thống máy tính tại cty có mô hình và sử dụng các dịch vụ như sau:

LAN -------- Proxy\Firewall ----------- Internet.

LAN:
Workstation:
• Có khoảng 20 users sử dụng 20 computer.
• Sử dụng các phần mềm văn phòng như office, Photoshop, yahoo messenger, skype … browser.
• Sử dụng Email (Google Apps).
• Dùng Symantec để phòng Virus.
Server: 1 Windows Server 2008, sử dụng các dịch vụ:
• DNS
• DHCP
• VPN
• WSUS
• File Server.

Proxy\Firewall: 1 Cent OS
Proxy:
• Tất cả các máy tính trong LAN phải qua proxy trước khi ra internet.
• Chỉ cho đi internet trong giờ làm việc.
• Cho server được phép đi thẳng.
• Ngăn chặn không cho download các file thực thi (.exe, .bat, …)
Firewall:
• LAN -------- Internet:
Mở các port sử dụng email (IMAPs, POP3s, SMTP)
Server được phép đi thẳng.
Cấm tất cả traffic còn lại

• Internet --------- LAN:
Nat port VPN vào LAN. 

Giải quyết 
Mô hình trên là mô hình thông thường và vẫn còn nhiều kẻ hở cho hiểm hoạ, đặc biệt những tiện ích như yahoo messenger, skype và mail bên ngoài là những chỗ cho phép những dữ liệu nguy hiểm có thể đi vô máy của người dùng. Biện pháp duyệt web phải đi xuyên qua proxy (có ít nhiều cản lọc) chỉ tập trung ở luồng web traffic và nếu chỉ lọc theo mime (.exe, .bat...) thì cũng không đủ bởi vì ngày nay mã độc vẫn có thể được chèn vô một word doc hoặc một pdf file.

Nếu xét về việc "hạn chế để trở thành zombie" thì cần xét hai khía cạnh:

1. Khả năng bị biến thành zombie (lây nhiễm đường vô).
2. Khả năng bị điều khiển để tấn công các nạn nhân khác (phát tán và tấn công đường ra).

Với hai khía cạnh trên, việc "phòng cháy" luôn luôn quan trọng và cần thiết hơn "chữa cháy" bởi vì nếu để cho "lửa" bốc ra và đốt cháy thì khó dập mà có dập được thì cũng bị hư hoại phần nào. Vậy, để "phòng cháy" một cách triệt để:

- Không cho sử dụng chat clients hoặc bất cứ tiện ích nào cho phép gởi files hoặc gởi file đính kèm.

- Không cho sử dụng free emails mà phải sử dụng hệ thống mail của công ty. Hệ thống này phải được thiết kế để rà quét và kiểm tra cẩn thận files được đính kèm có độc hại hay không rồi mới chuyển về hòm thư của nhân viên.

- Không cho sử dụng USB từ bên ngoài bởi vì đây là nguồn phát tán không kém phần khủng khiếp.

- Không cho kết nối đến các cổng dịch vụ khác ngoài 80 và 443 (và 80 / 443 phải đi xuyên qua hệ thống cản lọc chặt chẽ). Cái này nhằm hạn chế tình trạng máy con đã bị biến thành zombie và có thể tự động truy cập đến hệ thống của tin tặc (còn gọi là "call home").

- Không cho duyệt các trong web độc hại. Nếu có kinh phí, nên dùng các hệ thống lọc cao cấp để đọc nội dung trang web theo thể loại (ví dụ, weapons, drugs, hacks, pornography, chit chat.....). Nếu không có kinh phí, nên dùng DNS của openDNS và áp dụng Family Shields http://www.opendns.com/landings/familyshield) hoặc nếu có tiền một chút thì dùng "Comprehensive Web Content Filtering". Bảo đảm sẽ ngăn 99.99% những thứ độc hại.

- Hệ thống mail cần phải có bộ phận rà lọc thông tin kỹ lưỡng. Nên nhớ, không phải lúc nào antivirus cũng có thể tóm được những malware mới. Bởi vậy, mail đi vào công ty cần phải xét kỹ xuất xứ trước khi xét đến tin đính kèm.


Việc "chữa cháy" có hai khía cạnh khác:
a. Máy con trong LAN bị biến thành zombies và bắt đầu tấn công thiên hạ.
b. Tìm và diệt zombies.

Thông thường, zombies dùng cho mục đích DDoS (hầu hết zombies ngày nay có mục đích này) cho nên sự thay đổi trong lưu lượng truy cập Internet sẽ nhảy vọt. Nếu sử dụng proxy trong LAN thì sẽ thấy những chuỗi requests đến một số websites với tầng số cao. Trước hết, block ngay các traffic ấy (nếu dùng squid thì có thể dễ dàng block bằng ACL, nếu có kèm theo firewall nào đó thì tìm cách block dst-ip [địa chỉ IP của nạn nhân đang bị tấn công]).

Cũng xuyên qua proxy logs, bạn có thể xác định máy nào trong LAN đã "dội bom" ra bên ngoài. Nếu được, nên tạo một "disk image" của hard disk này và gởi đến nhóm chuyên gia malware nào đó để nhờ họ phân tích (nếu antivirus không detect được). Nếu không, nên format lại disk và cài lại máy trọn bộ cho an toàn.

Nếu sự dụng proxy cho LAN, có thể setup proxy "mở cửa" và "đóng cửa" theo giờ làm việc thông thường của công ty (hoặc ít ra theo giờ giấc mà hầu hết nhân viên công ty có mặt và bạn có thể kiểm soát).

(Sưu tầm)