请不要忽略内网安全管理
现象:最近发现公司内部的邮件出去老是被国外的垃圾邮件组织屏蔽....那些组织不是要钱就是要自己上去remove掉,然后等1天或是更长时间才能生效,(我想在企业做的应该都有遇到这样的问题吧?),另外一个问题就是,防火墙总是出现网络故障,除了http表现出来有问题外,其他正常....这个也是很伤脑筋的问题....
老板下来发话,3天内解决!!!
(可怜的打工一族..)
首先当然是要看邮件的问题了.这个最紧,因为这个公司主要是和国外联系的...
分析了退信原因,发现是有8个国际垃圾邮件组织屏蔽了公司的域名.和那边email沟通了下,终于搞明白了,基本上都是有垃圾邮件的问题...想了想,可能是公司的邮件服务器被别人做了跳板了吧.通过了解,公司的邮件账户的密码设定都是统一一个最简单的...(这样是很容易被别人做跳板的!)现在悔改是来不及了...只能想办法解决问题.后续在修改用户密码.
垃圾邮件从哪里来的呢?通过垃圾邮件组织的反馈,是提示某些电脑的问题.过去一看...乖乖,原来是没装杀毒软件,中招了.安装了统一的网络版symantec后,查了下,好多....心里慢慢也有底了...可能防火墙出现问题十有八九和这个有关系了...
后来上了病毒控制台一查,原来有近200台没安装杀毒软件....安排人手下去装了...当然不能闲着...
到huawei 5516交换机上去看,发现也没什么不正常,其实这款交换机也看不到什么不正常,太低端了...幸好还支持端口镜像....心里一点窃喜...有办法了.
mirroring-group 1 outbound GigabitEthernet1/4 mirrored-to GigabitEthernet2/4
将我们内部出去的数据口全部镜像到一个口上,通过那个口来做监控.
说做就做,将那个G2/4口接到我的笔记本上来,安装了个sniffer....问题浮出来了...原来泛洪了....一大片一大片的tcp 半连接.......攻击目标全部都是防火墙本机或是外部...
马上在防火墙(ISA2006)上把连接并发数量改小,然后将有每个人的流量修改小,然后将那些看起来有问题的电脑的上网权限取消,过去查毒...
折腾了2天,客户端杀毒软件基本部署到位,防火墙也正常了...邮件也没再被垃圾邮件组织屏蔽...
顺便找了台组装机,配置了个WSUS,将网内所有电脑的更新在域控上指到了服务器...
问题总算告一段落....
总结了下:平时不能放松对内网的监控,基础工作一定要做到位,如防病毒, 系统补丁,内部网络数据抓包分析...