chào các bạn, tại cơ quan mình đang cho phép nhân viên sử dụng internet. về mô hình cơ bản là như thế này:


internal --> FW cứng --> isa ----> FW cứng ---> internet

các nhân viên muốn truy cập internet phải có user AD được phép truy cập internet với các dịch vụ ( http, https,ftp download chứ không có upload ...) và chỉ mở chiều từ trong int --> ra ngoài ext


- hệ thống đảm bảo là các port cho mở mới đc mở, còn không là chắc chắn đóng roài.
- nhưng có 1 điều mình vẫn nghĩ là: liệu như thế đã thoát khỏi nguy cơ bị tấn công chưa ? liệu đối với những port mình đã mở ra như thế, có khả năng nào người sử dụng bị nhiễm virut hay là cố tình mở được tunnel over http or https để có thể mở thông 1 đường cho bên ngoài vào không ? tức là tấn công trên chính những thứ mình đã cho phép nên không hề nhận đc cảnh báo gì của hệ thống cả.

mình có đọc 1 bài viết về 1 vụ ăn cắp tiền của 1 ngân hàng tại nước mình, họ cũng chỉ dùng qua mỗi chát yahoo để lừa nhân viên trong Ngân hàng -> sau khi máy của Nhân viên đó bị nhiễm troyjan -> gửi ra một loại các thông tin về user hệ thống --> thế là hacker kia chọn thời điểm tấn công luôn vào hệ thống Ngân hàng kia, chuyển tiền hàng loạt món < 100$. đến lúc phát hiện ra thì thiệt hại cũng gần 1 triệu $. hic hic .. mình chỉ không hiểu sao mà nó tấn công từ ngoài vào đc hệ thống khi mà chỉ mở đường từ trong ra ngoài thôi ???

các bạn có suy nghĩ gì về vấn đề này không ???