Continguts amagar
1 Solucions de convergència de xarxes UC Plus de detecció d'intrusions de la sèrie GRANDSTREAM GCC6000
2 Instruccions d'ús del producte
3 Introducció
4 Definicions de tipus d'atac
5 Travessia del camí
6 Documents/Recursos
6.1 Referències
7 Publicacions relacionades

GRANDSTREAM-logotip

Solucions de convergència de xarxes UC Plus de detecció d'intrusions de la sèrie GRANDSTREAM GCC6000

Producte GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions

Especificacions del producte

  • Marca: Grandstream Networks, Inc.
  • Sèrie de productes: Sèrie GCC6000
  • Característiques: IDS (Intrusion Detection System) i IPS (Intrusion Prevention System)

Instruccions d'ús del producte

Introducció a IDS i IPS
El dispositiu de convergència GCC està equipat amb IDS i IPS amb finalitats de seguretat. L'IDS supervisa de manera passiva el trànsit i alerta els administradors de possibles amenaces, mentre que IPS intercepta activitats perjudicials immediatament.

Prevenció d'atacs d'injecció SQL
Els atacs d'injecció SQL tenen com a objectiu inserir codi maliciós a les declaracions SQL per recuperar informació no autoritzada o danyar la base de dades. Seguiu aquests passos per prevenir aquests atacs:

  1. Aneu a Mòdul del tallafoc > Prevenció d'intrusions > Biblioteca de signatures.
  2. Feu clic a la icona d'actualització per assegurar-vos que la informació de la biblioteca de signatures estigui actualitzada.
  3. Establiu el mode a Notificar i bloquejar al Mòdul del tallafoc > Prevenció d'intrusions > IDS/IPS.
  4. Seleccioneu un nivell de protecció de seguretat (Baix, Mitjà, Alt, Extremadament alt o Personalitzat) segons les vostres necessitats.
  5. Configureu el nivell de protecció de seguretat segons les vostres preferències.

Registres de seguretat IDS/IPS
Després de configurar la configuració, qualsevol intent d'atac d'injecció SQL serà supervisat i bloquejat pel dispositiu GCC. La informació corresponent es mostrarà als registres de seguretat.

Preguntes freqüents (FAQ)

P: Amb quina freqüència s'actualitza la base de dades d'amenaces?
R: La base de dades d'amenaces s'actualitza periòdicament i automàticament pel GCC en funció del pla comprat. Les actualitzacions es poden programar setmanalment o en una data/hora específica.

P: Quins tipus d'atacs es controlen a cada nivell de protecció de seguretat?
R: Diferents nivells de protecció (Baix, Mitjà, Alt, Extremadamente Alt, Personalitzat) supervisen i bloquegen diversos atacs com ara Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, explotació de vulnerabilitats, File Càrrega, eines de pirateig i pesca.

Introducció

El dispositiu de convergència GCC ve equipat amb dues característiques de seguretat importants que són l'IDS (Sistema de detecció d'intrusions) i l'IPS (Sistema de prevenció d'intrusions), cadascuna té un propòsit específic per supervisar i prevenir activitats malicioses de manera activa identificant i bloquejant diversos tipus i nivells de amenaça en temps real.

  • Sistemes de detecció d'intrusions (IDS): supervisen passivament el trànsit i alerten els administradors de possibles amenaces sense intervenció directa.
  • Sistemes de prevenció d'intrusions (IPS): interceptar activitats nocives immediatament.

GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (1)

En aquesta guia, configurarem una protecció de detecció i prevenció d'intrusions contra un tipus comú de web atacs coneguts com a injeccions SQL.

Prevenció d'atacs mitjançant IDS/IPS
L'atac d'injecció SQL, és un tipus d'atac designat per col·locar codi maliciós en declaracions SQL, amb l'objectiu de recuperar informació no autoritzada del web base de dades del servidor, o trencar la base de dades introduint una ordre o una entrada perjudicials.
Si us plau, seguiu els passos següents per evitar l'atac d'injecció:

  • Aneu a Mòdul del tallafoc → Prevenció d'intrusions → Biblioteca de signatures.
  • Feu clic a la icona
  • per assegurar-vos que la informació de la biblioteca de signatures estigui actualitzada.

GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (2)

Nota

  • La base de dades d'amenaces s'actualitza periòdicament i automàticament pel GCC en funció del pla adquirit.
  • L'interval d'actualització es pot programar per activar-se setmanalment o en una data/hora absoluta.

Aneu a Mòdul de tallafoc → Prevenció d'intrusions → IDS/IPS.
Estableix el mode a Notificar i bloquejar, això controlarà qualsevol acció sospitosa i la desarà al registre de seguretat, també bloquejarà l'origen de l'atac.

Seleccioneu el nivell de protecció de seguretat, s'admeten diferents nivells de protecció:

  1. Baixa: quan la protecció s'estableix a "Baixa", es controlaran i/o bloquejaran els atacs següents: Injecció, Força bruta, Travessia de camí, DoS, Troià, Webclosca.
  2. Mitjà: quan la protecció s'estableix a "Mitjana", es controlaran i/o bloquejaran els atacs següents: Injecció, Força bruta, Travessia de camí, DoS, Troià, Webshell, explotació de vulnerabilitats, File Càrrega, eines de pirateig, pesca.
  3. Alt: quan la protecció s'estableix a "Alt", es controlaran i/o bloquejaran els atacs següents: Injecció, Força bruta, Travessia de camí, DoS, Troià, Webshell, explotació de vulnerabilitats, File Càrrega, eines de pirateig, pesca.
  4. Extremadament alt: es bloquejaran tots els vectors d'atac.
  5. Personalitzat: el nivell de protecció personalitzat permet a l'usuari seleccionar només tipus específics d'atacs per ser detectats i bloquejats pel dispositiu GCC, consulteu la secció [Definicions de tipus d'atac] per obtenir més informació, establirem el Nivell de protecció de seguretat a Personalitzat.

GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (3)

Un cop establerta la configuració, si un atacant intenta llançar una injecció SQL, serà supervisada i bloquejada pel dispositiu GCC, i la informació d'acció corresponent es mostrarà als registres de seguretat tal com es mostra a continuació:

GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (4)

A view Per obtenir més informació sobre cada registre, podeu fer clic a la icona corresponent a l'entrada del registre:

GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (5) GRANDSTREAM-GCC6000-Series-Detecció d'intrusions-UC-Plus-Networking-Convergence-Solutions- (6)

Definicions de tipus d'atac

L'eina IDS/IPS té la capacitat de protegir contra diversos vectors d'atac, explicarem breument cadascun d'ells a la taula següent:

Tipus d'atac Descripció Example
Injecció Els atacs d'injecció es produeixen quan s'envien dades no fiables a un intèrpret com a part d'una ordre o una consulta, fent que l'intèrpret executi ordres no desitjades o accedeixi a dades no autoritzades. La injecció SQL en un formulari d'inici de sessió pot permetre a un atacant evitar l'autenticació.
Força Bruta Els atacs de força bruta impliquen provar moltes contrasenyes o frases de contrasenya amb l'esperança d'endevinar-les correctament comprovant sistemàticament totes les contrasenyes possibles. S'està intentant combinar diverses contrasenyes en una pàgina d'inici de sessió.
Desserialitzar Els atacs de no serialització es produeixen quan es deserialitzen dades no fiables, la qual cosa condueix a l'execució de codi arbitrari o altres explotacions. Un atacant que proporciona objectes serialitzats maliciosos.
Informació Els atacs de divulgació d'informació tenen com a objectiu recollir informació sobre el sistema objectiu per facilitar més atacs. Explotació d'una vulnerabilitat per llegir una configuració sensible files.

Travessia del camí

 Els atacs de travessa de camins tenen com a objectiu accedir files i directoris emmagatzemats fora de web carpeta arrel manipulant variables que fan referència files amb seqüències “../”. Accedint a /etc/passwd en un sistema Unix travessant directoris.
Explotació de les vulnerabilitats L'explotació implica avançartage de les vulnerabilitats del programari per provocar un comportament no desitjat o obtenir accés no autoritzat. Explotació d'una vulnerabilitat de desbordament de memòria intermèdia per executar codi arbitrari.
File Carrega File Els atacs de càrrega impliquen la càrrega de contingut maliciós files a un servidor per executar codi o ordres arbitraris. Carregant a web script de shell per obtenir el control del servidor.
Xarxa Protocol Supervisió i detecció d'anomalies en els protocols de xarxa per identificar tràfic potencialment maliciós c. Ús inusual de protocols com ICMP, ARP, etc.
DoS (Denegació de servei) Els atacs DoS tenen com a objectiu fer que una màquina o un recurs de xarxa no estigui disponible per als seus usuaris previstos, aclaparant-lo amb una gran quantitat de trànsit a Internet. Enviament d'un gran volum de peticions a a web servidor per esgotar els seus recursos.
Phishing La pesca consisteix a enganyar les persones perquè divulguin informació confidencial mitjançant correus electrònics enganyosos o webllocs. Un correu electrònic fals que sembla ser d'una font de confiança, que demana als usuaris que introdueixin les seves credencials.
Túnel Els atacs de túnel impliquen encapsular un tipus de trànsit de xarxa dins d'un altre per evitar els controls de seguretat o els tallafocs. Ús del túnel HTTP per enviar trànsit que no sigui HTTP mitjançant una connexió HTTP.
IoT (Internet de les coses) Supervisió i detecció d'anomalies en dispositius IoT per prevenir possibles atacs dirigits a aquests dispositius. Patrons de comunicació inusuals dels dispositius IoT que indiquen un possible compromís.
troià Els cavalls de Troia són programes maliciosos que enganyen els usuaris sobre la seva veritable intenció, sovint proporcionant una porta posterior a l'atacant. Un programa aparentment inofensiu que dóna accés al sistema a un atacant quan s'executa.
CoinMiner Els CoinMiners són programari maliciós dissenyat per explotar criptomoneda utilitzant els recursos de la màquina infectada. Un script de mineria ocult que utilitza la potència de la CPU/GPU per extreure criptomoneda.
Cuc Els cucs són programari maliciós autoreplicable que s'estenen per xarxes sense necessitat d'intervenció humana. Un cuc que s'estén a través de xarxes compartides per infectar diverses màquines.
Ransomware El ransomware xifra el de la víctima files i exigeix ​​un pagament de rescat per restablir l'accés a les dades. Un programa que encripta files i mostra una nota de rescat que demana el pagament en criptomoneda.
APT (Amenaça persistent avançada) Els APT són ciberatacs perllongats i dirigits on un intrús accedeix a una xarxa i no es detecta durant un període prolongat. Un atac sofisticat dirigit a dades sensibles d'una organització específica.
Webclosca Web shells són scripts que proporcionen a webinterfície basada en per als atacants per executar ordres en un compromès web servidor. Un script PHP penjat a a web servidor que permet a l'atacant executar ordres de shell.
Eines de pirateig Les eines de pirateria informàtica són programari dissenyat per facilitar l'accés no autoritzat als sistemes. Eines com Metasploit o Mimikatz s'utilitzen per a proves de penetració o pirateria maliciosa.

Dispositius compatibles

 Model de dispositiu  Firmware obligatori
 GCC6010W  1.0.1.7+
 GCC6010  1.0.1.7+
 GCC6011  1.0.1.7+

Necessita Suport?
No trobes la resposta que estàs buscant? No et preocupis, estem aquí per ajudar-te!

Documents/Recursos

Solucions de convergència de xarxes UC Plus de detecció d'intrusions de la sèrie GRANDSTREAM GCC6000 [pdfGuia de l'usuari
GCC6000, sèrie GCC6000, sèrie GCC6000 Detecció d'intrusions Solucions de convergència de xarxes UC Plus, solucions de convergència de xarxes de detecció d'intrusions UC Plus, solucions de convergència de xarxes de detecció UC Plus, solucions de convergència de xarxes, solucions

Referències

Publicacions relacionades

Deixa un comentari

La teva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats *