Tường lửa được định cấu hình không chính xác gây ra mối đe dọa bảo mật không chỉ cho doanh nghiệp mà nó bảo vệ mà còn cho tất cả những người truy cập hoặc sử dụng mạng nội bộ của công ty. Khi một vụ vi phạm tường lửa xảy ra, điều đó có nghĩa là ai đó đã không chú ý đến các nhật ký quan trọng hoặc dành thời gian để phân tích tính bảo mật của công ty. Hầu hết các vụ vi phạm tường lửa phát sinh do lỗi cấu hình, không phải do lỗi phần mềm. Việc xác định vi phạm tường lửa là điều tối quan trọng để đảm bảo an ninh hệ thống.
Bước 1
Phân tích nhật ký tường lửa. Hệ thống máy tính và phần mềm theo dõi mọi hoạt động. Việc xem xét các nhật ký này thường xuyên cho phép bạn xác minh xem có vi phạm xảy ra hay không. Chú ý đến bất kỳ hoạt động đáng ngờ nào, chẳng hạn như quét mạng hoặc thu thập thông tin. Người dùng nội bộ tiêu chuẩn không có lý do gì để hoàn thành các loại hoạt động này trên hệ thống của bạn. Khi bạn phát hiện loại hoạt động này trong nhật ký hệ thống của mình, hãy thay đổi mật khẩu và cài đặt cấu hình ngay lập tức. Tin tặc sử dụng phần mềm để quét hoặc thăm dò các tệp, các tệp này hiển thị trên nhật ký khi các nỗ lực được định thời gian lặp lại để truy cập vào hệ thống hoặc các tệp khác.
Bước 2
Tìm kiếm quyền truy cập bên ngoài từ các địa chỉ Giao thức Internet không quen thuộc với bạn. Giữ danh sách tất cả các địa chỉ IP được sử dụng bởi nhân viên hoặc người được ủy quyền để truy cập vào các hệ thống nội bộ từ bên ngoài. Theo dõi bất kỳ địa chỉ IP nào từ nhật ký hệ thống mà bạn không nhận ra. Sử dụng trang web tra cứu IP trực tuyến, chẳng hạn như IP-Lookup.net, Whois.net hoặc Hostip.info, để kiểm tra vị trí của các địa chỉ IP này. Nếu chúng dẫn đến nước ngoài hoặc máy chủ proxy, bạn có thể đã tìm thấy nơi bắt nguồn của vi phạm.
Bước 3
Kiểm tra nhật ký máy chủ Web và bất kỳ nhật ký nào được sử dụng với các cổng có thể dễ bị tấn công hoặc mở tường lửa. Tìm nhật ký người dùng mà bạn không nhận ra và hoạt động kỳ lạ đến từ các trang web bên ngoài không được công nhận. Đặc biệt chú ý đến thời gian truy cập. Tin tặc thường cố gắng truy cập vào những giờ lẻ trong đêm, đặc biệt nếu các cuộc tấn công đến từ bên ngoài quốc gia.
Bước 4
Xem lại thư mục hệ thống và kiểm tra cập nhật tệp. Xem lại ngày tháng của tệp để sửa đổi, đặc biệt là các tệp thường không được thay đổi hoặc sửa đổi. Nếu bạn xác định rằng đã xảy ra vi phạm, hãy xóa quyền truy cập bên ngoài vào hệ thống của bạn. Điều này sẽ ngăn không cho các cuộc tấn công tiếp theo xảy ra trong khi bạn đánh giá thiệt hại, dọn dẹp và cấu hình lại hệ thống.
Kiểm tra nhật ký hoạt động của bộ định tuyến Wi-Fi và theo dõi bất kỳ hoạt động nào có vẻ đáng ngờ. Bộ định tuyến Wi-Fi là điểm truy cập vào hệ thống của bạn, nếu bạn chưa thêm mật khẩu và bảo vệ chúng khỏi sự truy cập từ bên ngoài.
