GRANDSTREAM GCC6000 Series Detection Intrusion Detection UC Plus Рашэнні для сеткавай канвергенцыі

Тэхнічныя характарыстыкі прадукту

• Брэнд: Grandstream Networks, Inc.
• Серыя прадуктаў: ​​серыя GCC6000
• Асаблівасці: IDS (сістэма выяўлення ўварванняў) і IPS (сістэма прадухілення ўварванняў)

Інструкцыя па ўжыванні прадукту

Уводзіны ў IDS і IPS
У мэтах бяспекі прылада канвергенцыі GCC абсталявана IDS і IPS. IDS пасіўна кантралюе трафік і папярэджвае адміністратараў аб патэнцыйных пагрозах, а IPS неадкладна перахоплівае шкодныя дзеянні.

Прадухіленне атак SQL-ін'екцый
Атакі SQL-ін'екцый накіраваны на ўстаўку шкоднаснага кода ў аператары SQL для атрымання несанкцыянаванай інфармацыі або нанясення шкоды базе дадзеных. Каб прадухіліць такія напады, выканайце наступныя дзеянні:

1. Перайдзіце да Модуль брандмаўэра > Прадухіленне ўварванняў > Бібліятэка подпісаў.
2. Націсніце на значок абнаўлення, каб пераканацца, што інфармацыя аб бібліятэцы подпісаў актуальная.
3. Усталюйце рэжым Апавяшчаць і блакіраваць у Модулі брандмаўэра > Прадухіленне ўварванняў > IDS/IPS.
4. Выберыце ўзровень абароны бяспекі (нізкі, сярэдні, высокі, вельмі высокі або карыстальніцкі) у залежнасці ад вашых патрэбаў.
5. Наладзьце ўзровень абароны бяспекі ў адпаведнасці з вашымі перавагамі.

Журналы бяспекі IDS/IPS
Пасля канфігурацыі параметраў любая спроба SQL-атакі будзе адсочвацца і блакіравацца прыладай GCC. Адпаведная інфармацыя будзе адлюстроўвацца ў часопісах бяспекі.

Часта задаюць пытанні (FAQ)

Пытанне: Як часта абнаўляецца база дадзеных пагроз?
A: База дадзеных пагроз рэгулярна і аўтаматычна абнаўляецца GCC у залежнасці ад набытага плана. Абнаўленні можна планаваць штотыдзень або ў пэўную дату/час.

Пытанне: Якія тыпы нападаў адсочваюцца на кожным узроўні абароны?
A: Розныя ўзроўні абароны (Нізкі, Сярэдні, Высокі, Надзвычай высокі, Карыстальніцкі) кантралююць і блакуюць розныя атакі, такія як ін'екцыя, грубая сіла, пераход шляху, DoS, траян, Webабалонка, эксплойт уразлівасці, File Загрузка, інструменты ўзлому і фішынг.

Уводзіны

Канвергентная прылада GCC абсталявана дзвюма асноўнымі важнымі функцыямі бяспекі: IDS (сістэма выяўлення ўварванняў) і IPS (сістэма прадухілення ўварванняў), кожная з якіх служыць пэўнай мэты для актыўнага маніторынгу і прадухілення шкоднасных дзеянняў шляхам выяўлення і блакіроўкі розных тыпаў і ўзроўняў пагроз у рэжыме рэальнага часу.

• Сістэмы выяўлення ўварванняў (IDS): пасіўна кантралююць трафік і папярэджваюць адміністратараў аб патэнцыйных пагрозах без непасрэднага ўмяшання.
• Сістэмы прадухілення ўварванняў (IPS): неадкладна перахопліваюць шкодныя дзеянні.

У гэтым кіраўніцтве мы наладзім абарону ад выяўлення і прадухілення ўварванняў ад аднаго распаўсюджанага тыпу web атакі, вядомыя як SQL-ін'екцыі.

Прадухіленне атак з дапамогай IDS/IPS
Атака SQL-ін'екцыі - гэта тып атакі, прызначаны для размяшчэння шкоднаснага кода ў аператары SQL з мэтай атрымання несанкцыянаванай інфармацыі з web базу дадзеных сервера або зламаць базу дадзеных, увёўшы шкодную каманду або ўвод.
Каб прадухіліць ін'екцыйную атаку, выканайце наступныя дзеянні:

• Перайдзіце да модуля брандмаўэра → Прадухіленне ўварванняў → Бібліятэка подпісаў.
• Націсніце значок
• каб пераканацца, што інфармацыя бібліятэкі подпісаў актуальная.

Заўвага

• База дадзеных пагроз рэгулярна і аўтаматычна абнаўляецца GCC у залежнасці ад набытага плана.
• Інтэрвал абнаўлення можа быць запланаваны так, каб запускацца штотыдзень або ў абсалютную дату/час.

Перайдзіце да модуля брандмаўэра → Прадухіленне ўварванняў → IDS/IPS.
Усталюйце рэжым Апавяшчаць і блакіраваць, гэта будзе адсочваць любыя падазроныя дзеянні і захоўваць іх у журнале бяспекі, а таксама блакаваць крыніцу атакі.

Выберыце ўзровень абароны бяспекі, падтрымліваюцца розныя ўзроўні абароны:

1. Нізкі: калі абарона ўстаноўлена на «Нізкі», наступныя атакі будуць кантралявацца і/або блакіравацца: ін'екцыя, грубая сіла, пераход шляху, DoS, траян, Webабалонка.
2. Сярэдняя: калі абарона ўстаноўлена на «Сярэдняя», наступныя атакі будуць кантралявацца і/або блакіравацца: ін'екцыя, грубая сіла, пераход шляху, DoS, траян, Webабалонка, эксплойт уразлівасці, File Загрузка, інструменты ўзлому, фішынг.
3. Высокі: калі абарона ўстаноўлена на «Высокі», наступныя атакі будуць кантралявацца і/або блакіравацца: ін'екцыя, грубая сіла, пераход шляху, DoS, траян, Webабалонка, эксплойт уразлівасці, File Загрузка, інструменты ўзлому, фішынг.
4. Надзвычай высокі: усе вектары атакі будуць заблакіраваны.
5. Нестандартны: карыстальніцкі ўзровень абароны дазваляе карыстальніку выбіраць толькі пэўныя тыпы нападаў, якія будуць выяўляцца і блакіравацца прыладай GCC, калі ласка, звярніцеся да раздзела [Азначэнні тыпаў нападаў] для атрымання дадатковай інфармацыі, мы ўсталюем Узровень абароны бяспекі на Карыстальніцкі.

Пасля ўстаноўкі канфігурацыі, калі зламыснік паспрабуе запусціць SQL-ін'екцыю, гэта будзе кантралявацца і блакіравацца прыладай GCC, і адпаведная інфармацыя аб дзеянні будзе адлюстроўвацца ў журналах бяспекі, як паказана ніжэй:

каб view для атрымання дадатковай інфармацыі аб кожным часопісе, вы можаце націснуць значок, які адпавядае запісу журнала:

Азначэнні тыпаў нападаў

Інструмент IDS/IPS мае магчымасць абароны ад розных вектараў атак, мы коратка растлумачым кожны з іх у табліцы ніжэй:

Тып атакі	Апісанне	Example
Ін'екцыя	Ін'екцыйныя атакі адбываюцца, калі ненадзейныя даныя адпраўляюцца інтэрпрэтатару як частка каманды або запыту, прымушаючы інтэрпрэтатара выканаць ненаўмысныя каманды або атрымаць доступ да несанкцыянаваных даных.	Укараненне SQL у форму ўваходу можа дазволіць зламысніку абыйсці аўтэнтыфікацыю.
Грубая сіла	Атакі грубай сілы ўключаюць спробу мноства пароляў або фраз-пароляў з надзеяй у канчатковым выніку правільна адгадаць шляхам сістэматычнай праверкі ўсіх магчымых пароляў.	Спроба некалькіх камбінацый пароляў на старонцы ўваходу.
Несерыялізаваць	Атакі дэсерыялізацыі адбываюцца, калі ненадзейныя даныя дэсерыялізуюцца, што вядзе да выканання адвольнага кода або іншых дзеянняў.	Зламыснік забяспечвае шкоднасныя серыялізаваныя аб'екты.
інфармацыя	Атакі раскрыцця інфармацыі накіраваны на збор інфармацыі аб мэтавай сістэме для садзейнічання далейшым атакам.	Выкарыстанне ўразлівасці для чытання канфідэнцыйнай канфігурацыі files.

Праходжанне шляху	Атакі абыходу шляху накіраваны на доступ files і каталогі, якія захоўваюцца па-за межамі web каранёвая тэчка, маніпулюючы зменнымі, якія спасылаюцца files з паслядоўнасцямі «../».	Доступ да /etc/passwd у сістэме Unix шляхам абыходу каталогаў.
Выкарыстанне ўразлівасцяў	Эксплуатацыя прадугледжвае прыняцце авансtagуразлівасці праграмнага забеспячэння могуць выклікаць ненаўмысныя паводзіны або атрымаць несанкцыянаваны доступ.	Выкарыстанне ўразлівасці перапаўнення буфера для выканання адвольнага кода.
File Загрузіць	File атакі загрузкі ўключаюць загрузку шкоднасных files на сервер для выканання адвольнага кода або каманд.	Загрузка a web скрыпт абалонкі, каб атрымаць кантроль над серверам.
Сетка Пратакол	Маніторынг і выяўленне анамалій у сеткавых пратаколах для ідэнтыфікацыі патэнцыйна шкоднаснага трафіку c.	Незвычайнае выкарыстанне такіх пратаколаў, як ICMP, ARP і інш.
DoS (адмова ў абслугоўванні)	DoS-атакі накіраваны на тое, каб зрабіць машыну або сеткавы рэсурс недаступнымі для прызначаных карыстальнікаў, перагружаючы іх патокам інтэрнэт-трафіку c.	Адпраўка вялікай колькасці запытаў на a web сервер вычарпаў свае рэсурсы.
Фішынг	Фішынг заключаецца ў тым, што падманам прымушаюць людзей раскрыць канфідэнцыйную інфармацыю праз падманныя электронныя лісты або webсайты.	Фальшывы электронны ліст, які, здаецца, паходзіць з надзейнай крыніцы і прапануе карыстальнікам увесці свае ўліковыя дадзеныя.
Тунэль	Атакі тунэлявання прадугледжваюць інкапсуляцыю аднаго тыпу сеткавага трафіку ў іншы, каб абыйсці кантроль бяспекі або брандмаўэр.	Выкарыстанне HTTP-тунэлявання для адпраўкі не-HTTP-трафіку праз HTTP-злучэнне.
IoT (Інтэрнэт рэчаў)	Маніторынг і выяўленне анамалій у прыладах IoT для прадухілення магчымых нападаў, накіраваных на гэтыя прылады.	Незвычайныя шаблоны сувязі ад прылад IoT, якія паказваюць на магчымы кампраміс.
Траян	Траянскія коні - гэта шкоднасныя праграмы, якія ўводзяць карыстальнікаў у зман адносна іх сапраўдных намераў, часта ствараючы бэкдор для зламысніка.	Здавалася б, бяскрыўдная праграма, якая пры выкананні дае зламысніку доступ да сістэмы.
CoinMiner	CoinMiners - гэта шкоднаснае праграмнае забеспячэнне, прызначанае для здабычы крыптавалюты з выкарыстаннем рэсурсаў заражанай машыны.	Скрыпт схаванага майнинга, які выкарыстоўвае магутнасць CPU/GPU для здабычы крыптавалюты.
Чарвяк	Чарвякі - гэта самаразмнажальныя шкоднасныя праграмы, якія распаўсюджваюцца па сетках без умяшання чалавека.	Чарвяк, які распаўсюджваецца праз агульныя сеткавыя сеткі, заражаючы некалькі машын.
Праграмы-вымагальнікі	Праграмы-вымагальнікі шыфруюць ахвяры files і патрабуе выплату выкупу за аднаўленне доступу да дадзеных.	Праграму для шыфравання files і адлюстроўвае запіску аб выкупе з патрабаваннем аплаты ў крыптавалюце.
APT (Пашыраная ўстойлівая пагроза)	APT - гэта працяглыя мэтанакіраваныя кібератакі, пры якіх зламыснік атрымлівае доступ да сеткі і застаецца незаўважаным на працягу доўгага перыяду.	Складаная атака, накіраваная на канфідэнцыяльныя даныя пэўнай арганізацыі.
Webабалонка	Web абалонкі - гэта скрыпты, якія забяспечваюць a web-інтэрфейс для зламыснікаў для выканання каманд на ўзламаным web сервер.	Скрыпт PHP, загружаны ў a web сервер, які дазваляе зламысніку запускаць каманды абалонкі.
Інструменты ўзлому	Інструменты ўзлому - гэта праграмнае забеспячэнне, прызначанае для палягчэння несанкцыянаванага доступу да сістэм.	Такія інструменты, як Metasploit або Mimikatz, якія выкарыстоўваюцца для тэставання на пранікненне або зламыснага ўзлому.

Падтрымліваюцца прылады

Мадэль прылады	Патрабуецца прашыўка
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Патрэбна падтрымка?
Не можаце знайсці адказ, які шукаеце? Не хвалюйцеся, мы тут, каб дапамагчы!

Дакументы / Рэсурсы

GRANDSTREAM GCC6000 Series Detection Intrusion Detection UC Plus Рашэнні для сеткавай канвергенцыі [pdfКіраўніцтва карыстальніка GCC6000, GCC6000 Series, GCC6000 Series Intrusion Detection UC Plus Рашэнні для канвергенцыі сетак, Intrusion Detection UC Plus Рашэнні для канвергенцыі сетак, Detection UC Plus Рашэнні для канвергенцыі сетак, Рашэнні для канвергенцыі сетак, рашэнні

Спасылкі

• Кіраўніцтва карыстальніка