Сегодняшнее вредоносное ПО часто является механизмом доставки для многоаспектной атаки, которая ищет уязвимости в программах и ОС, уязвимости служб, точки общего доступа и т.д. Начиная с первоначального заражения компьютера, она может пытаться подтолкнуть заражающие агенты либо к активной, либо пассивной атаке на другие машины в сети через различные уязвимости.
В вашем сценарии более вероятно, что кто-то заразит другую систему, которая затем атакует уязвимую систему. Если заражение является трояном удаленного доступа, человек также может активно просматривать все машины во внутренней сети. Другие вредоносные программы также могут выполнять сканирование сети и звонить домой с информацией.
Во внутренней сети Windows, где используется общий доступ к файлам, незапатченный компьютер может быть атакован через три отдельных вектора.
1) Поделитесь очками, у которых троян упал на месте с помощью автоигры. Ваша машина заражена либо при прямом выполнении, либо при запуске автозапуска. Не включайте Microsoft Client для доступа к другим компьютерам в сети в устаревшей системе.
2) Уязвимые сервисы могут быть найдены и машина атакована через них. Не запускайте сервисы, которые прослушивают сеть в устаревшей системе.
3) Больше нет надежного веб-сайта. Большинство ваших атак будут проходить через файлы Acrobat, Flash-контент, Java-апплеты и т.д. Сам браузер, который не исправляется, если IE станет еще одним основным источником атаки, особенно если это IE6. Сохраните веб-сайты, которые вы посещаете, на корпоративных сайтах, которые могут многое потерять, если они когда-либо будут взломаны Блоги никогда не заслуживают доверия, вы не можете рассчитывать на то, что человек, управляющий ими, будет достаточно осведомлен, чтобы исправиться перед компромиссом. Я довольно привык к визгу Касперского в прошлом году.
Теперь от наиболее вероятной атаки к менее вероятной атаке.
Что касается "За беспроводным маршрутизатором", какой уровень шифрования вы используете? Если вы не используете WPA2-AES, приобретите маршрутизатор, который будет его запускать, и защитную фразу для защиты сети, чтобы было легко подключать другие системы, но было трудно сломать снаружи.
При наличии NAT на маршрутизаторе и непатчированном компьютере, подключающемся к сети, злоумышленник должен видеть, когда этот компьютер генерирует трафик, это IP-адрес вашего маршрутизатора и номер порта. Не переносите ничего на эту систему.
И теперь, где NAT может допустить утечки информации. Будь то Linux, Windows или MAC, существуют определенные протоколы интрасети, которые ДОЛЖНЫ БЛОКИРОВАТЬСЯ от прохождения через маршрутизатор в общедоступную сеть. Я видел, как маршрутизаторы пропускают исходящий трафик Microsoft File and Print, DNS-трафик от внутреннего разрешения имен, которое передается исходящим. Из этого трафика и анализатора пакетов можно построить внутреннюю сетевую карту используемых адресов частной сети и пакетов, пытаясь отследить генерирующую их ОС, если эта информация не прописана в пакете.
