GRANDSTREAM GCC6000 Series Detekce narušení UC Plus Řešení konvergence sítí
Specifikace produktu
- Značka: Grandstream Networks, Inc.
- Produktová řada: Řada GCC6000
- Vlastnosti: IDS (Intrusion Detection System) a IPS (Intrusion Prevention System)
Návod k použití produktu
Úvod do IDS a IPS
Konvergenční zařízení GCC je pro bezpečnostní účely vybaveno IDS a IPS. IDS pasivně monitoruje provoz a upozorňuje administrátory na potenciální hrozby, zatímco IPS okamžitě zachycuje škodlivé aktivity.
Prevence útoků SQL Injection
Útoky SQL injection mají za cíl vložit škodlivý kód do příkazů SQL za účelem získání neoprávněných informací nebo poškození databáze. Chcete-li takovým útokům zabránit, postupujte takto:
- Přejděte na Modul brány firewall > Prevence narušení > Knihovna podpisů.
- Kliknutím na ikonu aktualizace zajistíte, že jsou informace o knihovně podpisů aktuální.
- Nastavte režim na Upozornit a blokovat v modulu Firewall > Prevence narušení > IDS/IPS.
- Vyberte úroveň ochrany zabezpečení (nízká, střední, vysoká, extrémně vysoká nebo vlastní) podle vašich potřeb.
- Nakonfigurujte Úroveň ochrany zabezpečení podle svých preferencí.
Protokoly zabezpečení IDS/IPS
Po konfiguraci nastavení bude jakýkoli pokus o útok SQL injection monitorován a blokován zařízením GCC. Odpovídající informace se zobrazí v protokolech zabezpečení.
Často kladené otázky (FAQ)
Otázka: Jak často se aktualizuje databáze hrozeb?
Odpověď: Databáze hrozeb je pravidelně a automaticky aktualizována GCC v závislosti na zakoupeném plánu. Aktualizace lze naplánovat týdně nebo na konkrétní datum/čas.
Otázka: Jaké typy útoků jsou sledovány v jednotlivých úrovních ochrany zabezpečení?
Odpověď: Různé úrovně ochrany (nízká, střední, vysoká, extrémně vysoká, vlastní) monitorují a blokují různé útoky, jako je Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Zranitelnost Exploit, File Nahrávání, hackerské nástroje a phishing.
Zavedení
Konvergenční zařízení GCC je vybaveno dvěma hlavními důležitými bezpečnostními funkcemi, kterými jsou IDS (Intrusion detection System) a IPS (Intrusion Prevention System), z nichž každá slouží specifickému účelu k aktivnímu sledování a prevenci škodlivých aktivit tím, že identifikuje a blokuje různé typy a úrovně ohrožení v reálném čase.
- Intrusion Detection Systems (IDS): pasivně monitorují provoz a upozorňují správce na potenciální hrozby bez přímého zásahu.
- Intrusion Prevention Systems (IPS): okamžitě zachytí škodlivé aktivity.
V této příručce nakonfigurujeme ochranu detekce narušení a prevence proti jednomu běžnému typu web útoky známé jako SQL injections.
Prevence útoků pomocí IDS/IPS
Útok SQL injection je typ útoku určený k umístění škodlivého kódu do příkazů SQL s cílem získat neoprávněné informace z web databázi serveru nebo databázi prolomit zadáním škodlivého příkazu nebo vstupu.
Chcete-li zabránit injekčnímu útoku, postupujte podle následujících kroků:
- Přejděte do modulu Firewall → Prevence narušení → Knihovna podpisů.
- Klepněte na ikonu
- abyste se ujistili, že jsou informace o knihovně podpisů aktuální.
Poznámka
- Databáze hrozeb je pravidelně a automaticky aktualizována GCC v závislosti na zakoupeném plánu.
- Interval aktualizace lze naplánovat tak, aby se spouštěl buď týdně, nebo v absolutní datum/čas.
Přejděte do modulu Firewall → Prevence narušení → IDS/IPS.
Nastavte režim na Upozornit a zablokovat, tím se bude sledovat jakákoli podezřelá akce a uloží se do protokolu zabezpečení, zablokuje se také zdroj útoku.
Vyberte Úroveň ochrany zabezpečení, jsou podporovány různé úrovně ochrany:
- Nízká: Když je ochrana nastavena na „Nízká“, budou monitorovány a/nebo blokovány následující útoky: Injection, Brute Force, Path Traversal, DoS, Trojan, Webskořápka.
- Střední: Když je ochrana nastavena na „Střední“, budou sledovány a/nebo blokovány následující útoky: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Zranitelnost Exploit, File Nahrávání, hackerské nástroje, phishing.
- Vysoká: Když je ochrana nastavena na „Vysoká“, budou monitorovány a/nebo blokovány následující útoky: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Zranitelnost Exploit, File Nahrávání, hackerské nástroje, phishing.
- Extrémně vysoká: Všechny útočné vektory budou blokovány.
- Vlastní: vlastní úroveň ochrany umožňuje uživateli vybrat pouze konkrétní typy útoků, které mají být detekovány a blokovány zařízením GCC, další informace naleznete v části [Definice typů útoků], úroveň zabezpečení nastavíme na Vlastní.
Jakmile je konfigurace nastavena, Pokud se útočník pokusí spustit SQL injection, bude monitorován a zablokován zařízením GCC a příslušné informace o akci se zobrazí v protokolech zabezpečení, jak je uvedeno níže:
Na view více informací o každém protokolu, můžete kliknout na ikonu odpovídající záznamu protokolu:
Definice typů útoků
Nástroj IDS/IPS má schopnost chránit před různými útočnými vektory, každý z nich stručně vysvětlíme v níže uvedené tabulce:
| Typ útoku | Popis | Example |
| Injekce | K útokům injekce dochází, když jsou nedůvěryhodná data odeslána tlumočníkovi jako součást příkazu nebo dotazu, čímž se tlumočník oklame, aby provedl nezamýšlené příkazy nebo získal přístup k neoprávněným datům. | SQL Injection v přihlašovacím formuláři může útočníkovi umožnit obejít ověřování. |
| Hrubá síla | Útoky hrubou silou zahrnují zkoušení mnoha hesel nebo přístupových frází s nadějí, že nakonec uhodnete správně systematickou kontrolou všech možných hesel. | Pokus o více kombinací hesel na přihlašovací stránce. |
| Zrušit serializaci | Unserializační útoky nastávají, když jsou nedůvěryhodná data deserializována, což vede ke spuštění libovolného kódu nebo jinému zneužití. | Útočník poskytující škodlivé serializované objekty. |
| Informace | Cílem útoků na odhalení informací je shromáždit informace o cílovém systému pro usnadnění dalších útoků. | Zneužití chyby zabezpečení ke čtení citlivé konfigurace files. |
Traverzování |
Útoky typu Path Traversal mají za cíl přístup files a adresáře uložené mimo web kořenovou složku manipulací s proměnnými, které odkazují files se sekvencemi „../“. | Přístup k /etc/passwd na unixovém systému procházením adresářů. |
| Využití zranitelností | Vykořisťování zahrnuje přijímání zálohtage zranitelností softwaru, které mohou způsobit nezamýšlené chování nebo získat neoprávněný přístup. | Zneužití chyby zabezpečení přetečení vyrovnávací paměti ke spuštění libovolného kódu. |
| File Nahrát | File Útoky při nahrávání zahrnují nahrávání škodlivého obsahu files na server pro provedení libovolného kódu nebo příkazů. | Nahrávání a web shell skript pro získání kontroly nad serverem. |
| Síť Protokol | Monitorování a detekce anomálií v síťových protokolech k identifikaci potenciálně škodlivého provozu. | Neobvyklé použití protokolů jako ICMP, ARP atd. |
| DoS (Denial of Service) | DoS útoky mají za cíl znepřístupnit stroj nebo síťový zdroj jeho zamýšleným uživatelům tím, že je zahltí záplavou internetového provozu. | Odesílání velkého množství požadavků na a web server vyčerpat své zdroje. |
| Phishing | Phishing zahrnuje oklamání jednotlivců, aby vyzradili důvěrné informace prostřednictvím podvodných e-mailů nebo webstránky. | Falešný e-mail, který se zdá být z důvěryhodného zdroje a který uživatele vyzývá k zadání přihlašovacích údajů. |
| Tunel | Tunelové útoky zahrnují zapouzdření jednoho typu síťového provozu do jiného, aby se obešly bezpečnostní kontroly nebo firewally. | Použití tunelování HTTP k odesílání provozu jiného než HTTP prostřednictvím připojení HTTP. |
| IoT (internet věcí) | Monitorování a detekce anomálií v zařízeních IoT, aby se zabránilo potenciálním útokům na tato zařízení. | Neobvyklé komunikační vzorce ze zařízení IoT naznačující možný kompromis. |
| trojský | Trojské koně jsou škodlivé programy, které klamou uživatele o jejich skutečném záměru a často poskytují útočníkovi zadní vrátka. | Zdánlivě neškodný program, který při spuštění poskytuje útočníkovi přístup do systému. |
| CoinMiner | CoinMiners je škodlivý software určený k těžbě kryptoměny pomocí zdrojů infikovaného stroje. | Skrytý těžební skript, který využívá výkon CPU/GPU k těžbě kryptoměny. |
| Červ | Červi jsou sebereplikující se malware, který se šíří po sítích bez nutnosti zásahu člověka. | Červ, který se šíří prostřednictvím sdílených síťových položek a infikuje více počítačů. |
| Ransomware | Ransomware zašifruje oběti files a požaduje platbu výkupného za obnovení přístupu k datům. | Program, který šifruje files a zobrazí výkupné požadující platbu v kryptoměně. |
| APT (pokročilá trvalá hrozba) | APT jsou dlouhodobé a cílené kybernetické útoky, kdy narušitel získá přístup k síti a zůstane po delší dobu nedetekován. | Sofistikovaný útok zaměřený na citlivá data konkrétní organizace. |
| Webskořápka | Web shelly jsou skripty, které poskytují a web-založené rozhraní pro útočníky k provádění příkazů na kompromitovaném web server. | PHP skript nahraný do a web server, který umožňuje útočníkovi spouštět příkazy shellu. |
| Hackerské nástroje | Hackerské nástroje jsou software navržený pro usnadnění neoprávněného přístupu do systémů. | Nástroje jako Metasploit nebo Mimikatz používané pro penetrační testování nebo škodlivé hackování. |
Podporovaná zařízení
| Model zařízení | Je vyžadován firmware |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
Potřebujete podporu?
Nemůžete najít odpověď, kterou hledáte? Nebojte se, jsme tu, abychom vám pomohli!
Dokumenty / zdroje
 |
GRANDSTREAM GCC6000 Series Detekce narušení UC Plus Řešení konvergence sítí [pdfUživatelská příručka GCC6000, GCC6000 Series, GCC6000 Series Detekce narušení UC Plus Síťová konvergenční řešení, Detekce narušení UC Plus Síťová konvergenční řešení, Detekce UC Plus Síťová konvergenční řešení, Síťová konvergenční řešení, řešení |
