GRANDSTREAM GCC6000 Series Intrusion Detection Detection UC Plus Networking Convergence Solutions

Προδιαγραφές προϊόντος

• Μάρκα: Grandstream Networks, Inc.
• Σειρά προϊόντων: Σειρά GCC6000
• Χαρακτηριστικά: IDS (σύστημα ανίχνευσης εισβολής) και IPS (σύστημα αποτροπής εισβολής)

Οδηγίες χρήσης προϊόντος

Εισαγωγή στα IDS και IPS
Η συσκευή σύγκλισης GCC είναι εξοπλισμένη με IDS και IPS για λόγους ασφαλείας. Το IDS παρακολουθεί παθητικά την κυκλοφορία και ειδοποιεί τους διαχειριστές για πιθανές απειλές, ενώ το IPS παρακολουθεί αμέσως τις επιβλαβείς δραστηριότητες.

Πρόληψη επιθέσεων SQL Injection
Οι επιθέσεις SQL injection στοχεύουν στην εισαγωγή κακόβουλου κώδικα σε δηλώσεις SQL για να ανακτήσουν μη εξουσιοδοτημένες πληροφορίες ή να βλάψουν τη βάση δεδομένων. Ακολουθήστε τα παρακάτω βήματα για να αποτρέψετε τέτοιες επιθέσεις:

1. Μεταβείτε στη Μονάδα τείχους προστασίας > Πρόληψη εισβολής > Βιβλιοθήκη υπογραφών.
2. Κάντε κλικ στο εικονίδιο ενημέρωσης για να βεβαιωθείτε ότι οι Πληροφορίες της Βιβλιοθήκης Υπογραφής είναι ενημερωμένες.
3. Ρυθμίστε τη λειτουργία σε Ειδοποίηση & Αποκλεισμός στη Μονάδα τείχους προστασίας > Πρόληψη εισβολής > IDS/IPS.
4. Επιλέξτε ένα επίπεδο προστασίας ασφαλείας (χαμηλό, μεσαίο, υψηλό, εξαιρετικά υψηλό ή προσαρμοσμένο) με βάση τις ανάγκες σας.
5. Διαμορφώστε το Επίπεδο Προστασίας Ασφαλείας σύμφωνα με τις προτιμήσεις σας.

Μητρώα ασφαλείας IDS/IPS
Μετά τη διαμόρφωση των ρυθμίσεων, οποιαδήποτε απόπειρα επίθεσης SQL injection θα παρακολουθείται και θα αποκλειστεί από τη συσκευή GCC. Οι αντίστοιχες πληροφορίες θα εμφανίζονται στα αρχεία καταγραφής ασφαλείας.

Συχνές Ερωτήσεις (FAQ)

Ε: Πόσο συχνά ενημερώνεται η βάση δεδομένων απειλών;
Α: Η βάση δεδομένων απειλών ενημερώνεται τακτικά και αυτόματα από το GCC ανάλογα με το αγορασμένο σχέδιο. Οι ενημερώσεις μπορούν να προγραμματιστούν εβδομαδιαία ή σε συγκεκριμένη ημερομηνία/ώρα.

Ε: Ποιοι τύποι επιθέσεων παρακολουθούνται σε κάθε Επίπεδο Προστασίας Ασφαλείας;
A: Διαφορετικά επίπεδα προστασίας (χαμηλό, μεσαίο, υψηλό, εξαιρετικά υψηλό, προσαρμοσμένο) παρακολουθούν και αποκλείουν διάφορες επιθέσεις όπως Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Μεταφόρτωση, Εργαλεία Hacking και Phishing.

Εισαγωγή

Η συσκευή σύγκλισης GCC είναι εξοπλισμένη με δύο βασικά σημαντικά χαρακτηριστικά ασφαλείας, τα οποία είναι το IDS (Intrusion detection system) και το IPS (Intrusion Prevention System), το καθένα εξυπηρετεί έναν συγκεκριμένο σκοπό για την ενεργή παρακολούθηση και πρόληψη κακόβουλων δραστηριοτήτων, εντοπίζοντας και αποκλείοντας διάφορους τύπους και επίπεδα απειλή σε πραγματικό χρόνο.

• Συστήματα ανίχνευσης εισβολής (IDS): παρακολουθούν παθητικά την κυκλοφορία και ειδοποιούν τους διαχειριστές για πιθανές απειλές χωρίς άμεση επέμβαση.
• Συστήματα Αποτροπής Εισβολής (IPS): αναχαιτίζουν άμεσα επιβλαβείς δραστηριότητες.

Σε αυτόν τον οδηγό, θα διαμορφώσουμε μια προστασία ανίχνευσης εισβολής και πρόληψης έναντι ενός κοινού τύπου web επιθέσεις γνωστές ως ενέσεις SQL.

Πρόληψη επιθέσεων με χρήση IDS/IPS
Η επίθεση SQL injection, είναι ένας τύπος επίθεσης που έχει σχεδιαστεί για την τοποθέτηση κακόβουλου κώδικα σε δηλώσεις SQL, με στόχο την ανάκτηση μη εξουσιοδοτημένων πληροφοριών από το web τη βάση δεδομένων του διακομιστή ή σπάστε τη βάση δεδομένων εισάγοντας μια επιβλαβή εντολή ή είσοδο.
Ακολουθήστε τα παρακάτω βήματα για να αποτρέψετε την επίθεση ένεσης:

• Μεταβείτε στη Μονάδα τείχους προστασίας → Πρόληψη εισβολής → Βιβλιοθήκη υπογραφών.
• Κάντε κλικ στο εικονίδιο
• για να βεβαιωθείτε ότι οι Πληροφορίες της Βιβλιοθήκης Υπογραφής είναι ενημερωμένες.

Σημείωμα

• Η βάση δεδομένων απειλών ενημερώνεται τακτικά και αυτόματα από το GCC ανάλογα με το αγορασμένο σχέδιο.
• Το διάστημα ενημέρωσης μπορεί να προγραμματιστεί ώστε να ενεργοποιείται είτε εβδομαδιαία είτε σε απόλυτη ημερομηνία/ώρα.

Μεταβείτε στη Μονάδα τείχους προστασίας → Πρόληψη εισβολής → IDS/IPS.
Ρυθμίστε τη λειτουργία σε Ειδοποίηση & Αποκλεισμός, αυτό θα παρακολουθεί για οποιαδήποτε ύποπτη ενέργεια και θα την αποθηκεύσει στο αρχείο καταγραφής ασφαλείας, θα μπλοκάρει επίσης την πηγή της επίθεσης.

Επιλέξτε το Επίπεδο Προστασίας Ασφαλείας, υποστηρίζονται διαφορετικά επίπεδα προστασίας:

1. Χαμηλή: Όταν η προστασία έχει οριστεί σε "Χαμηλή", οι ακόλουθες επιθέσεις θα παρακολουθούνται ή/και θα αποκλειστούν: Injection, Brute Force, Path Traversal, DoS, Trojan, Webκέλυφος.
2. Μέσο: Όταν η προστασία έχει οριστεί σε "Μεσαίο", οι ακόλουθες επιθέσεις θα παρακολουθούνται ή/και θα αποκλειστούν: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Μεταφόρτωση, Εργαλεία Hacking, Phishing.
3. Υψηλό: Όταν η προστασία έχει οριστεί σε "Υψηλή", οι ακόλουθες επιθέσεις θα παρακολουθούνται ή/και θα αποκλειστούν: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Μεταφόρτωση, Εργαλεία Hacking, Phishing.
4. Extremely High: Όλα τα διανύσματα επίθεσης θα αποκλειστούν.
5. Προσαρμοσμένο: το προσαρμοσμένο επίπεδο προστασίας επιτρέπει στον χρήστη να επιλέγει μόνο συγκεκριμένους τύπους επιθέσεων που θα εντοπιστούν και θα αποκλειστούν από τη συσκευή GCC, ανατρέξτε στην ενότητα [Ορισμοί τύπων επίθεσης] για περισσότερες πληροφορίες, θα ορίσουμε το Επίπεδο προστασίας ασφαλείας σε Προσαρμοσμένο.

Μόλις οριστεί η διαμόρφωση, εάν ένας εισβολέας επιχειρήσει να ξεκινήσει μια ένεση SQL, θα παρακολουθείται και θα αποκλειστεί από τη συσκευή GCC και οι αντίστοιχες πληροφορίες ενέργειας θα εμφανίζονται στα αρχεία καταγραφής ασφαλείας όπως φαίνεται παρακάτω:

Να view περισσότερες πληροφορίες για κάθε αρχείο καταγραφής, μπορείτε να κάνετε κλικ στο εικονίδιο που αντιστοιχεί στην καταχώριση του αρχείου καταγραφής:

Ορισμοί τύπων επίθεσης

Το εργαλείο IDS/IPS έχει την ικανότητα να προστατεύει από διάφορους φορείς επίθεσης, θα εξηγήσουμε εν συντομία καθένα από αυτά στον παρακάτω πίνακα:

Τύπος επίθεσης	Περιγραφή	Example
Ενεση	Οι επιθέσεις έγχυσης συμβαίνουν όταν αποστέλλονται μη αξιόπιστα δεδομένα σε έναν διερμηνέα ως μέρος μιας εντολής ή ερωτήματος, εξαπατώντας τον διερμηνέα να εκτελέσει ακούσιες εντολές ή να αποκτήσει πρόσβαση σε μη εξουσιοδοτημένα δεδομένα.	Το SQL Injection σε μια φόρμα σύνδεσης μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τον έλεγχο ταυτότητας.
Brute Force	Οι επιθέσεις ωμής βίας περιλαμβάνουν τη δοκιμή πολλών κωδικών πρόσβασης ή φράσεων πρόσβασης με την ελπίδα να μαντέψουμε τελικά σωστά ελέγχοντας συστηματικά όλους τους πιθανούς κωδικούς πρόσβασης.	Προσπάθεια πολλαπλών συνδυασμών κωδικών πρόσβασης σε μια σελίδα σύνδεσης.
Unserialize	Οι επιθέσεις μη σειριοποίησης συμβαίνουν όταν τα μη αξιόπιστα δεδομένα είναι ασυνήθιστα, οδηγώντας σε αυθαίρετη εκτέλεση κώδικα ή άλλες εκμεταλλεύσεις.	Ένας εισβολέας που παρέχει κακόβουλα σειριακά αντικείμενα.
Πληροφορίες	Οι επιθέσεις αποκάλυψης πληροφοριών στοχεύουν στη συλλογή πληροφοριών σχετικά με το σύστημα στόχου για τη διευκόλυνση περαιτέρω επιθέσεων.	Εκμετάλλευση ευπάθειας σε ευαίσθητες ρυθμίσεις παραμέτρων ανάγνωσης files.

Διαδρομή διαδρομής	Οι επιθέσεις διέλευσης μονοπατιών στοχεύουν στην πρόσβαση files και καταλόγους που είναι αποθηκευμένοι έξω από το web ριζικό φάκελο με το χειρισμό των μεταβλητών που αναφέρονται files με ακολουθίες "../".	Πρόσβαση στο /etc/passwd σε ένα σύστημα Unix με διέλευση καταλόγων.
Εκμετάλλευση τρωτών σημείων	Η εκμετάλλευση συνεπάγεται τη λήψη προκαταβολώνtagε των τρωτών σημείων λογισμικού για την πρόκληση ακούσιας συμπεριφοράς ή την απόκτηση μη εξουσιοδοτημένης πρόσβασης.	Εκμετάλλευση ευπάθειας υπερχείλισης buffer για την εκτέλεση αυθαίρετου κώδικα.
File Μεταφόρτωση	File Οι επιθέσεις μεταφόρτωσης περιλαμβάνουν τη μεταφόρτωση κακόβουλων files σε διακομιστή για να εκτελέσει αυθαίρετο κώδικα ή εντολές.	Μεταφόρτωση α web shell script για να αποκτήσετε τον έλεγχο του διακομιστή.
Δίκτυο Πρωτόκολλο	Παρακολούθηση και ανίχνευση ανωμαλιών στα πρωτόκολλα δικτύου για τον εντοπισμό δυνητικά κακόβουλης κυκλοφορίας γ.	Ασυνήθιστη χρήση πρωτοκόλλων όπως ICMP, ARP κ.λπ.
DoS (Άρνηση υπηρεσίας)	Οι επιθέσεις DoS στοχεύουν στο να καταστήσουν ένα μηχάνημα ή έναν πόρο δικτύου μη διαθέσιμο στους χρήστες για τους οποίους προορίζεται, κατακλύζοντάς το από μια πλημμύρα κίνησης στο Διαδίκτυο γ.	Αποστολή μεγάλου όγκου αιτημάτων σε α web διακομιστή για να εξαντλήσει τους πόρους του.
Phishing	Το ηλεκτρονικό ψάρεμα περιλαμβάνει την εξαπάτηση ατόμων ώστε να αποκαλύψουν εμπιστευτικές πληροφορίες μέσω παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου ή webτοποθεσίες.	Ένα ψεύτικο email που φαίνεται να προέρχεται από αξιόπιστη πηγή, που προτρέπει τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους.
Σήραγγα	Οι επιθέσεις σήραγγας περιλαμβάνουν την ενθυλάκωση ενός τύπου κίνησης δικτύου μέσα σε έναν άλλο για να παρακάμψουν τους ελέγχους ασφαλείας ή τα τείχη προστασίας.	Χρήση διοχέτευσης HTTP για αποστολή επισκεψιμότητας εκτός HTTP μέσω μιας σύνδεσης HTTP.
IoT (Internet of Things)	Παρακολούθηση και ανίχνευση ανωμαλιών σε συσκευές IoT για την πρόληψη πιθανών επιθέσεων που στοχεύουν αυτές τις συσκευές.	Ασυνήθιστα μοτίβα επικοινωνίας από συσκευές IoT που υποδεικνύουν έναν πιθανό συμβιβασμό.
γενναίο και φιλεργό άτομο	Οι δούρειοι ίπποι είναι κακόβουλα προγράμματα που παραπλανούν τους χρήστες σχετικά με την πραγματική τους πρόθεση, συχνά παρέχοντας μια κερκόπορτα στον εισβολέα.	Ένα φαινομενικά αβλαβές πρόγραμμα που δίνει σε έναν εισβολέα πρόσβαση στο σύστημα όταν εκτελείται.
CoinMiner	Τα CoinMiners είναι κακόβουλο λογισμικό που έχει σχεδιαστεί για την εξόρυξη κρυπτονομισμάτων χρησιμοποιώντας τους πόρους του μολυσμένου μηχανήματος.	Ένα κρυφό σενάριο εξόρυξης που χρησιμοποιεί ισχύ CPU/GPU για εξόρυξη κρυπτονομισμάτων.
Σκουλήκι	Τα σκουλήκια είναι αυτοαναπαραγόμενο κακόβουλο λογισμικό που εξαπλώνεται στα δίκτυα χωρίς την ανάγκη ανθρώπινης παρέμβασης.	Ένα σκουλήκι που εξαπλώνεται μέσω κοινόχρηστων στοιχείων δικτύου για να μολύνει πολλαπλούς μηχανισμούς.
Ransomware	Το Ransomware κρυπτογραφεί ένα θύμα files και απαιτεί πληρωμή λύτρων για την αποκατάσταση της πρόσβασης στα δεδομένα.	Ένα πρόγραμμα που κρυπτογραφεί files και εμφανίζει ένα σημείωμα λύτρων που απαιτεί πληρωμή σε κρυπτονομίσματα.
APT (Προηγμένη επίμονη απειλή)	Τα APT είναι παρατεταμένες και στοχευμένες επιθέσεις στον κυβερνοχώρο όπου ένας εισβολέας αποκτά πρόσβαση σε ένα δίκτυο και παραμένει απαρατήρητος για μεγάλο χρονικό διάστημα.	Μια εξελιγμένη επίθεση που στοχεύει ευαίσθητα δεδομένα ενός συγκεκριμένου οργανισμού.
Webκέλυφος	Web Τα κελύφη είναι σενάρια που παρέχουν α web-Βασισμένη διεπαφή για τους εισβολείς να εκτελούν εντολές σε ένα παραβιασμένο web υπηρέτης.	Ένα σενάριο PHP μεταφορτώθηκε στο a web διακομιστή που επιτρέπει στον εισβολέα να εκτελεί εντολές φλοιού.
Εργαλεία Hacking	Τα εργαλεία hacking είναι λογισμικό σχεδιασμένο για να διευκολύνει τη μη εξουσιοδοτημένη πρόσβαση σε συστήματα.	Εργαλεία όπως το Metasploit ή το Mimikatz που χρησιμοποιούνται για δοκιμές διείσδυσης ή κακόβουλο hacking.

Υποστηριζόμενες συσκευές

Μοντέλο συσκευής	Απαιτείται υλικολογισμικό
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Χρειάζεστε υποστήριξη?
Δεν μπορείτε να βρείτε την απάντηση που ψάχνετε; Μην ανησυχείτε είμαστε εδώ για να βοηθήσουμε!

Έγγραφα / Πόροι

GRANDSTREAM GCC6000 Series Intrusion Detection Detection UC Plus Networking Convergence Solutions [pdf] Οδηγός χρήστη GCC6000, GCC6000 Series, GCC6000 Series Intrusion Detection Λύσεις σύγκλισης δικτύων UC Plus, Λύσεις σύγκλισης δικτύωσης ανίχνευσης εισβολής, Λύσεις σύγκλισης δικτύων ανίχνευσης UC Plus, λύσεις σύγκλισης δικτύωσης, λύσεις

Αναφορές

• Εγχειρίδιο χρήστη