Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.  

Dear all mình làm IT đã nhiều năm,nhưng pass modem luôn luôn bị mất,người lấy không có làm hại điều gì ngoài NAT server puplic ra bên ngoài. cấu trúc mạng bên em là 2 ip tĩnh ==>modem draytek ==>switch (Domain)==>user ko hiểu vì sao mình ko NAT server pulic ra ngoài mà cứ vài ngày mình vào modem lại thấy server đã được NAT ra,mình nghi ngờ máy tính mình ngồi truy cập qua web modem bị lộ pass lên mình đã setup lại máy tính mình thành Ubuntu 12.04,sau đó truy cập vào giao diện web modem để disibale cái NAT kia đi,nhưng được vài hôm mình vào modem lại thấy server NAT ra ngoài (server domain 2008 cài full soft,sql.....),pass modem thì chỉ một mình có và dùng ubuntu lên mình nghĩ an toàn,thế mà vẫn bị. các bác giúp em phòng tránh vụ này thế nào cho tốt ạ,hoặc em đã làm sai sót ở điểm gì mà vẫn bị như thế (em nghĩ mất pass chỉ có mục đích là NAT server public chứ ko có thay đổi pass) trân trọng cảm ơn các bác help  

Dear PXMMRF Em trân trọng cảm ơn bác đã nhắc nhở,và em sẽ rút kinh nghiệm vào lần sau qua bài viết của bác em nghĩ bác đã hiểu vấn đề của em đang gặp phải,và hiện nay em vẫn chưa xử lý được và em vẫn tiếp tục nhờ sự support của các bác cho vấn đề này. - về phần user em cũng trình bày luôn là có hơn 100 user (số người vào làm việc và nghỉ việc là thường xuyên) trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả) - user chỉ cần mở web (IE,FF,Opera...) gõ địa chỉ IP sẽ hiện lên giao diện web đăng nhập modem - vấn đề server domain em ko ngại gì cả,em cũng không cài lại có điều hơi phiền là một số forder bắt buộc phải share full (em không muốn DATA full này bị share ra ngoài internet). -Hiện tượng server bị NAT ra ngoài vẫn xảy ra cho tới thời điểm này,em đã sử dụng các cách ,các kiểu rồi (kinh nghiệm trên 5 năm IT tuy gà nhưng các bác chỉ vẫn bít)thế mà vẫn chưa tìm ra thủ phạm,và vấn đề thủ phạm đưa dữ liệu ra ngoài là không được phép (VD :tài liệu PM KT,Công văn.....soure code.. solution....) Rất mong các bác thông cảm cho những lỗi nhỏ của em và giúp em xử lý được vụ này. trân trọng cảm ơn. 

Coi chừng việc NAT là do uPNP thực hiện chứ không phải do ai đó login vào router thay đổi (nếu pass đặt khó, chữ hoa/thường/số và không ai biết ngoài bạn + thay đổi trong sự an toàn => khó có cơ hội thay nó đấy). Nếu bật tính năng uPNP này trên router, một client bình thường không cần mật khẩu cũng có thể khiến cho router "tạo NAT forward" được thông qua việc gửi yêu cầu upnp đến router. uPNP rất có ích cho mạng home khi chat skype, hay bittorrent. Nhưng với mạng văn phòng thì có thể tắt nó đi (trên router). 

Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được. đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em.... trân trọng