Contidos ocultar
1 GRANDSTREAM Serie GCC6000 Detección de intrusións Solucións de converxencia de redes UC Plus
2 Instrucións de uso do produto
3 Introdución
4 Definicións de tipos de ataque
5 Travesía do Camiño
6 Documentos/Recursos
6.1 Referencias
7 Publicacións relacionadas

GRANDSTREAM-logotipo

GRANDSTREAM Serie GCC6000 Detección de intrusións Solucións de converxencia de redes UC Plus

Produto GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Networking-Convergence-Solutions

Especificacións do produto

  • Marca: Grandstream Networks, Inc.
  • Serie de produtos: Serie GCC6000
  • Características: IDS (Intrusion Detection System) e IPS (Intrusion Prevention System)

Instrucións de uso do produto

Introdución a IDS e IPS
O dispositivo de converxencia GCC está equipado con IDS e IPS por motivos de seguridade. IDS supervisa pasivamente o tráfico e alerta aos administradores de posibles ameazas, mentres que IPS intercepta actividades daniñas de inmediato.

Prevención de ataques de inxección SQL
Os ataques de inxección SQL teñen como obxectivo inserir código malicioso nas instrucións SQL para recuperar información non autorizada ou danar a base de datos. Siga estes pasos para evitar este tipo de ataques:

  1. Vaia ata Módulo de cortalumes > Prevención de intrusións > Biblioteca de sinaturas.
  2. Fai clic na icona de actualización para asegurarte de que a información da biblioteca de sinaturas estea actualizada.
  3. Estableza o modo en Notificar e bloquear en Módulo de cortalumes > Prevención de intrusións > IDS/IPS.
  4. Seleccione un nivel de protección de seguridade (Baixo, Medio, Alto, Extremadamente alto ou Personalizado) segundo as súas necesidades.
  5. Configure o nivel de protección de seguranza segundo as súas preferencias.

Rexistros de seguridade IDS/IPS
Despois de configurar a configuración, calquera intento de ataque de inxección SQL será supervisado e bloqueado polo dispositivo GCC. A información correspondente mostrarase nos rexistros de seguridade.

Preguntas frecuentes (FAQ)

P: Cantas veces se actualiza a base de datos de ameazas?
R: A base de datos de ameazas actualízase regularmente e automaticamente polo GCC dependendo do plan adquirido. As actualizacións pódense programar semanalmente ou nunha data/hora específica.

P: Que tipos de ataques se supervisan en cada nivel de protección de seguridade?
R: Diferentes niveis de protección (Baixo, Medio, Alto, Extremadamente Alto, Personalizado) supervisan e bloquean varios ataques como Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, explotación de vulnerabilidade, File Carga, ferramentas de hackeo e phishing.

Introdución

O dispositivo de converxencia GCC está equipado con dúas funcións de seguridade importantes que son o IDS (Sistema de detección de intrusos) e o IPS (Sistema de prevención de intrusións), cada un ten un propósito específico para supervisar e previr activamente actividades maliciosas identificando e bloqueando varios tipos e niveis de ameaza en tempo real.

  • Sistemas de detección de intrusos (IDS): supervisan de forma pasiva o tráfico e alertan aos administradores de posibles ameazas sen intervención directa.
  • Sistemas de prevención de intrusións (IPS): intercepta actividades daniñas inmediatamente.

GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (1)

Nesta guía, configuraremos unha protección de detección e prevención de intrusións contra un tipo común de web ataques coñecidos como inxeccións SQL.

Prevención de ataques mediante IDS/IPS
Ataque de inxección SQL, é un tipo de ataque designado para colocar código malicioso en instrucións SQL, co obxectivo de recuperar información non autorizada do web base de datos do servidor ou romper a base de datos introducindo un comando ou unha entrada prexudiciais.
Siga os seguintes pasos para evitar o ataque de inxección:

  • Vaia ata Módulo de firewall → Prevención de intrusións → Biblioteca de sinaturas.
  • Fai clic na icona
  • para asegurarse de que a información da biblioteca de sinaturas estea actualizada.

GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (2)

Nota

  • A base de datos de ameazas é actualizada regularmente e automaticamente polo GCC dependendo do plan adquirido.
  • O intervalo de actualización pódese programar para que se active semanalmente ou nunha data/hora absoluta.

Vaia ata Módulo de firewall → Prevención de intrusións → IDS/IPS.
Establece o modo en Notificar e bloquear, isto supervisará calquera acción sospeitosa e gardaao no rexistro de seguridade, tamén bloqueará a orixe do ataque.

Seleccione o Nivel de protección de seguranza, admitiranse diferentes niveis de protección:

  1. Baixa: cando a protección está configurada como "Baixa", supervisaranse e/ou bloquearanse os seguintes ataques: Inxección, Forza Bruta, Travesía de camiños, DoS, Trojan, Webcuncha.
  2. Medio: cando a protección está configurada como "Medio", supervisaranse e/ou bloquearanse os seguintes ataques: Inxección, Forza Bruta, Travesía de camiños, DoS, Trojan, Webshell, explotación de vulnerabilidade, File Carga, ferramentas de hackeo, phishing.
  3. Alta: cando a protección está configurada como "Alta", supervisaranse e/ou bloquearanse os seguintes ataques: Inxección, Forza Bruta, Travesía de camiños, DoS, Trojan, Webshell, explotación de vulnerabilidade, File Carga, ferramentas de hackeo, phishing.
  4. Extremadamente alto: bloquearanse todos os vectores de ataque.
  5. Personalizado: o nivel de protección personalizado permite ao usuario seleccionar só tipos específicos de ataques para ser detectados e bloqueados polo dispositivo GCC; consulte a sección [Definicións de tipos de ataque] para obter máis información, estableceremos o Nivel de protección de seguranza en Personalizado.

GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (3)

Unha vez configurada a configuración, se un atacante tenta lanzar unha inxección SQL, será supervisada e bloqueada polo dispositivo GCC, e a información de acción correspondente mostrarase nos rexistros de seguridade como se mostra a continuación:

GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (4)

Para view máis información sobre cada rexistro, pode facer clic na icona correspondente á entrada do rexistro:

GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (5) GRANDSTREAM-GCC6000-Series-Detección-de-intrusións-UC-Plus-Solucións-de-converxencia-de-redes- (6)

Definicións de tipos de ataque

A ferramenta IDS/IPS ten a capacidade de protexer contra varios vectores de ataque, explicaremos brevemente cada un deles na seguinte táboa:

Tipo de ataque Descrición Example
Inxección Os ataques de inxección ocorren cando se envían datos non fiables a un intérprete como parte dun comando ou consulta, enganando ao intérprete para que execute comandos non desexados ou acceda a datos non autorizados. A inxección SQL nun formulario de inicio de sesión pode permitir que un atacante evite a autenticación.
Forza Bruta Os ataques de forza bruta implican probar moitos contrasinais ou frases de acceso coa esperanza de eventualmente adiviñar correctamente verificando sistemáticamente todos os contrasinais posibles. Tentando varias combinacións de contrasinais nunha páxina de inicio de sesión.
Desserializar Os ataques de desserialización ocorren cando se deserializan datos non fiables, o que leva á execución de código arbitrario ou a outras explotacións. Un atacante que proporciona obxectos serializados maliciosos.
Información Os ataques de divulgación de información teñen como obxectivo reunir información sobre o sistema obxectivo para facilitar novos ataques. Explotación dunha vulnerabilidade para ler unha configuración sensible files.

Travesía do Camiño

 Os ataques de atravesamento de camiños teñen como obxectivo acceder files e directorios almacenados fóra do web cartafol raíz manipulando variables que fan referencia files con secuencias “../”. Acceder a /etc/passwd nun sistema Unix atravesando directorios.
Explotación de vulnerabilidades A explotación implica sacar adiantetage de vulnerabilidades de software para causar un comportamento non desexado ou obter acceso non autorizado. Explotación dunha vulnerabilidade de desbordamento do búfer para executar código arbitrario.
File Cargar File Os ataques de carga implican cargas maliciosas files a un servidor para executar código ou comandos arbitrarios. Cargando a web script de shell para controlar o servidor.
Rede Protocolo Vixilancia e detección de anomalías nos protocolos de rede para identificar tráfico potencialmente malicioso. Uso inusual de protocolos como ICMP, ARP, etc.
DoS (Denegación de servizo) Os ataques DoS teñen como obxectivo facer que unha máquina ou un recurso de rede non estean dispoñibles para os seus usuarios previstos, abafándoo cunha avalancha de tráfico de Internet. Enviar un gran volume de solicitudes a a web servidor para esgotar os seus recursos.
Phishing O phishing consiste en enganar a persoas para que divulguen información confidencial mediante correos electrónicos enganosos ou websitios. Un correo electrónico falso que parece ser dunha fonte de confianza, que solicita aos usuarios que introduzan as súas credenciais.
Túnel Os ataques de túnel implican encapsular un tipo de tráfico de rede dentro doutro para evitar os controis de seguridade ou os cortalumes. Usando o túnel HTTP para enviar tráfico non HTTP a través dunha conexión HTTP.
IoT (Internet das Cousas) Monitorización e detección de anomalías en dispositivos IoT para evitar posibles ataques dirixidos a estes dispositivos. Patróns de comunicación pouco habituais dos dispositivos IoT que indican un posible compromiso.
troiano Os cabalos de Troia son programas maliciosos que enganan aos usuarios sobre a súa verdadeira intención, proporcionando a miúdo unha porta traseira ao atacante. Un programa aparentemente inofensivo que dá a un atacante acceso ao sistema cando se executa.
CoinMiner CoinMiners son programas maliciosos deseñados para extraer criptomonedas utilizando os recursos da máquina infectada. Un script de minería oculto que utiliza a CPU/GPU para extraer criptomonedas.
Verme Os gusanos son programas maliciosos autorreplicantes que se espallan polas redes sen necesidade de intervención humana. Un verme que se espalla a través de comparticións de rede para infectar varias máquinas.
Ransomware O ransomware cifra o da vítima files e esixe un pago de rescate para restaurar o acceso aos datos. Un programa que encripta files e mostra unha nota de rescate esixindo o pago en criptomoeda.
APT (Amenaza persistente avanzada) Os APT son ciberataques prolongados e dirixidos aos que un intruso accede a unha rede e permanece sen ser detectado durante un período prolongado. Un ataque sofisticado dirixido a datos confidenciais dunha organización específica.
Webcuncha Web shells son scripts que proporcionan a web-baseada en interface para que os atacantes executen comandos nun lugar comprometido web servidor. Un script PHP cargado en a web servidor que permite ao atacante executar comandos de shell.
Ferramentas de hackeo As ferramentas de hackeo son software deseñados para facilitar o acceso non autorizado aos sistemas. Ferramentas como Metasploit ou Mimikatz usadas para probas de penetración ou hackeo malicioso.

Dispositivos compatibles

 Modelo de dispositivo  Firmware necesario
 GCC6010W  1.0.1.7+
 GCC6010  1.0.1.7+
 GCC6011  1.0.1.7+

Necesita Apoio?
Non atopas a resposta que buscas? Non te preocupes, estamos aquí para axudar!

Documentos/Recursos

GRANDSTREAM Serie GCC6000 Detección de intrusións Solucións de converxencia de redes UC Plus [pdfGuía do usuario
Serie GCC6000, Serie GCC6000, Serie GCC6000 Detección de intrusións Solucións de converxencia de redes UC Plus, Detección de intrusións Solucións de converxencia de redes UC Plus, Detección Solucións de converxencia de redes UC Plus, Solucións de converxencia de redes, solucións

Referencias

Publicacións relacionadas

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *