GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus rješenja za konvergenciju mreže

Specifikacije proizvoda

• Brend: Grandstream Networks, Inc.
• Serija proizvoda: GCC6000 serija
• Karakteristike: IDS (Sistem za detekciju upada) i IPS (Sistem za prevenciju upada)

Upute za upotrebu proizvoda

Uvod u IDS i IPS
GCC uređaj za konvergenciju je opremljen IDS-om i IPS-om iz sigurnosnih razloga. IDS pasivno prati saobraćaj i upozorava administratore na potencijalne pretnje, dok IPS odmah presreće štetne aktivnosti.

Sprečavanje napada SQL injekcijom
Napadi SQL injekcije imaju za cilj ubacivanje zlonamjernog koda u SQL izraze kako bi se dohvatile neovlaštene informacije ili oštetila baza podataka. Slijedite ove korake kako biste spriječili takve napade:

1. Idite na Modul zaštitnog zida > Prevencija upada > Biblioteka potpisa.
2. Kliknite na ikonu ažuriranja kako biste bili sigurni da su informacije biblioteke potpisa ažurne.
3. Postavite način na Obavijesti i blokiraj u Modul zaštitnog zida > Prevencija upada > IDS/IPS.
4. Odaberite nivo sigurnosne zaštite (nizak, srednji, visok, ekstremno visok ili prilagođen) na osnovu vaših potreba.
5. Konfigurirajte nivo sigurnosne zaštite prema vašim željama.

IDS/IPS sigurnosni zapisnici
Nakon konfigurisanja postavki, GCC uređaj će nadgledati i blokirati svaki pokušaj napada SQL injekcijom. Odgovarajuće informacije će biti prikazane u sigurnosnim evidencijama.

Često postavljana pitanja (FAQ)

P: Koliko često se ažurira baza podataka prijetnji?
O: GCC redovno i automatski ažurira bazu podataka prijetnji ovisno o kupljenom planu. Ažuriranja se mogu zakazati sedmično ili na određeni datum/vrijeme.

P: Koje vrste napada se prate na svakom nivou zaštite?
O: Različiti nivoi zaštite (niski, srednji, visoki, ekstremno visoki, prilagođeni) nadgledaju i blokiraju različite napade kao što su injekcija, gruba sila, prelazak putanje, DoS, trojanac, Webljuska, eksploatacija ranjivosti, File Otpremanje, alati za hakiranje i krađa identiteta.

Uvod

GCC uređaj za konvergenciju dolazi opremljen sa dvije glavne važne sigurnosne karakteristike, a to su IDS (Sistem za otkrivanje upada) i IPS (Sistem za prevenciju upada), a svaki služi specifičnoj svrsi za aktivno praćenje i sprječavanje zlonamjernih aktivnosti identifikacijom i blokiranjem različitih tipova i nivoa prijetnja u realnom vremenu.

• Sistemi za otkrivanje upada (IDS): pasivno nadgledaju saobraćaj i upozoravaju administratore na potencijalne pretnje bez direktne intervencije.
• Sistemi za prevenciju upada (IPS): odmah presreću štetne aktivnosti.

U ovom vodiču ćemo konfigurirati zaštitu za otkrivanje i prevenciju upada protiv jednog uobičajenog tipa web napadi poznati kao SQL injekcije.

Sprečavanje napada pomoću IDS/IPS-a
Napad SQL injekcijom je vrsta napada namijenjenog postavljanju zlonamjernog koda u SQL naredbe, u cilju preuzimanja neovlaštenih informacija sa web bazu podataka servera ili razbiti bazu podataka unosom štetne naredbe ili unosa.
Molimo slijedite dolje navedene korake kako biste spriječili napad injekcijom:

• Idite na Modul zaštitnog zida → Prevencija upada → Biblioteka potpisa.
• Kliknite na ikonu
• kako biste bili sigurni da su informacije biblioteke potpisa ažurne.

Napomena

• Baza podataka prijetnji se redovno i automatski ažurira od strane GCC-a u zavisnosti od kupljenog plana.
• Interval ažuriranja može se zakazati tako da se pokreće bilo sedmično ili na apsolutni datum/vrijeme.

Idite na Modul zaštitnog zida → Prevencija upada → IDS/IPS.
Postavite način na Obavijesti i blokiraj, ovo će pratiti bilo kakvu sumnjivu radnju i pohraniti je u sigurnosni dnevnik, a također će blokirati izvor napada.

Odaberite nivo sigurnosne zaštite, podržani su različiti nivoi zaštite:

1. Low: Kada je zaštita postavljena na „Low“, slijedeći napadi će se pratiti i/ili blokirati: Injection, Brute Force, Path Traversal, DoS, Trojan, Webškoljka.
2. Srednji: Kada je zaštita postavljena na „Srednji“, slijedeći napadi će se pratiti i/ili blokirati: Injection, Brute Force, Path Traversal, DoS, Trojan, Webljuska, eksploatacija ranjivosti, File Upload, Hacking Tools, Phishing.
3. Visoka: Kada je zaštita postavljena na „High“, slijedeći napadi će se pratiti i/ili blokirati: Injection, Brute Force, Path Traversal, DoS, Trojan, Webljuska, eksploatacija ranjivosti, File Upload, Hacking Tools, Phishing.
4. Ekstremno visok: Svi vektori napada će biti blokirani.
5. Prilagođeno: prilagođeni nivo zaštite omogućava korisniku da odabere samo određene vrste napada koje će GCC uređaj otkriti i blokirati, molimo pogledajte odjeljak [Definicije tipova napada] za više informacija, mi ćemo postaviti sigurnosni nivo zaštite na prilagođeni.

Jednom kada je konfiguracija postavljena, ako napadač pokuša pokrenuti SQL injekciju, GCC uređaj će ga nadzirati i blokirati, a odgovarajuće informacije o akciji će biti prikazane u sigurnosnim zapisnicima kao što je prikazano u nastavku:

To view više informacija o svakom dnevniku, možete kliknuti na ikonu koja odgovara unosu u dnevnik:

Definicije tipova napada

IDS/IPS alat ima mogućnost zaštite od različitih vektora napada, ukratko ćemo objasniti svaki od njih u donjoj tabeli:

Vrsta napada	Opis	Example
Injekcija	Injekcioni napadi se dešavaju kada se nepouzdani podaci šalju interpretatoru kao dio naredbe ili upita, prevarom tumačeći da izvrši nenamjerne naredbe ili pristupi neovlaštenim podacima.	SQL Injekcija u obrascu za prijavu može omogućiti napadaču da zaobiđe autentifikaciju.
Brute Force	Napadi grube sile uključuju isprobavanje mnogih lozinki ili pristupnih fraza u nadi da ćete na kraju ispravno pogoditi sistematskim provjeravanjem svih mogućih lozinki.	Pokušaj više kombinacija lozinki na stranici za prijavu.
Unserialize	Napadi neserijalizacije se dešavaju kada se nepouzdani podaci deserializiraju, što dovodi do proizvoljnog izvršavanja koda ili drugih eksploatacija.	Napadač koji pruža zlonamjerne serijalizirane objekte.
Informacije	Napadi otkrivanja informacija imaju za cilj prikupljanje informacija o ciljnom sistemu kako bi se olakšali dalji napadi.	Iskorištavanje ranjivosti za čitanje osjetljive konfiguracije files.

Path Traversal	Napadi prelaskom putanje imaju za cilj pristup files i direktorije pohranjene izvan web root folder manipulisanjem varijablama koje se pozivaju files sa “../” sekvencama.	Pristup /etc/passwd na Unix sistemu prelaskom kroz direktorijume.
Iskorišćavanje ranjivosti	Eksploatacija uključuje uzimanje prednostitage ranjivosti softvera da izazovu nenamjerno ponašanje ili dobiju neovlašteni pristup.	Iskorišćavanje ranjivosti prekoračenja bafera za izvršavanje proizvoljnog koda.
File Upload	File upload napadi uključuju otpremanje zlonamjernog sadržaja files na server za izvršavanje proizvoljnog koda ili naredbi.	Učitavanje a web shell skripta za dobijanje kontrole nad serverom.
Mreža Protokol	Nadgledanje i otkrivanje anomalija u mrežnim protokolima za identifikaciju potencijalno zlonamjernog prometa c.	Neuobičajena upotreba protokola kao što su ICMP, ARP, itd.
DoS (odbijanje usluge)	DoS napadi imaju za cilj da mašinu ili mrežni resurs učine nedostupnim za nameravane korisnike tako što će ih preplaviti poplavom internet saobraćaja.	Slanje velikog broja zahtjeva na a web server da iscrpi svoje resurse.
Phishing	Phishing uključuje prevaru pojedinaca da odaju povjerljive informacije putem obmanjujućih e-poruka ili webweb stranice.	Lažna e-pošta za koju se čini da je iz pouzdanog izvora, što poziva korisnike da unesu svoje vjerodajnice.
Tunel	Napadi tuneliranja uključuju inkapsuliranje jedne vrste mrežnog saobraćaja u drugu kako bi se zaobišle ​​sigurnosne kontrole ili zaštitni zidovi.	Korištenje HTTP tuneliranja za slanje ne-HTTP prometa putem HTTP veze.
IoT (Internet stvari)	Nadgledanje i otkrivanje anomalija na IoT uređajima kako bi se spriječili potencijalni napadi usmjereni na te uređaje.	Neobični komunikacijski obrasci s IoT uređaja koji ukazuju na mogući kompromis.
Trojanac	Trojanski konji su zlonamjerni programi koji obmanjuju korisnike o njihovoj pravoj namjeri, često pružajući pozadinska vrata napadaču.	Naizgled bezopasan program koji napadaču daje pristup sistemu kada se izvrši.
CoinMiner	CoinMiners je zlonamjerni softver dizajniran za rudarenje kriptovalute koristeći resurse zaražene mašine.	Skrivena skripta za rudarenje koja koristi CPU/GPU snagu za rudarenje kriptovalute.
Crv	Crvi su samoreplicirajući zlonamjerni softver koji se širi mrežama bez potrebe za ljudskom intervencijom.	Crv koji se širi kroz mrežne dionice kako bi zarazio više mašina.
Ransomware	Ransomware šifrira žrtve files i zahtijeva isplatu otkupnine za vraćanje pristupa podacima.	Program koji šifrira files i prikazuje poruku o otkupnini koja zahtijeva plaćanje u kriptovaluti.
APT (napredna trajna prijetnja)	APT-ovi su dugotrajni i ciljani sajber napadi u kojima uljez dobije pristup mreži i ostaje neotkriven duži period.	Sofisticirani napad usmjeren na osjetljive podatke određene organizacije.
Webškoljka	Web ljuske su skripte koje pružaju a web-bazirano sučelje za napadače da izvrše komande na kompromitovanom web server.	PHP skripta postavljena na a web server koji dozvoljava napadaču da pokrene komande ljuske.
Hacking Tools	Alati za hakovanje su softver dizajniran da omogući neovlašćeni pristup sistemima.	Alati poput Metasploit ili Mimikatz koji se koriste za testiranje penetracije ili zlonamjerno hakovanje.

Podržani uređaji

Model uređaja	Potreban je firmver
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Potrebna podrška?
Ne možete pronaći odgovor koji tražite? Ne brinite, tu smo da pomognemo!

Dokumenti / Resursi

GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus rješenja za konvergenciju mreže [pdf] Korisnički priručnik GCC6000, GCC6000 serija, GCC6000 serija detekcija upada UC Plus rješenja za konvergenciju mreže, detekcija upada UC Plus rješenja za konvergenciju mreže, detekcija UC Plus rješenja za konvergenciju mreže, rješenja za konvergenciju mreže, rješenja

Reference

• Uputstvo za upotrebu