Soluzioni di convergenza di rete UC Plus per il rilevamento delle intrusioni della serie GRANDSTREAM GCC6000
Specifiche del prodotto
- Marca: Grandstream Networks, Inc.
- Serie di prodotti: Serie GCC6000
- Caratteristiche: IDS (Intrusion Detection System) e IPS (Intrusion Prevention System)
Istruzioni per l'uso del prodotto
Introduzione a IDS e IPS
Il dispositivo di convergenza GCC è dotato di IDS e IPS per scopi di sicurezza. IDS monitora passivamente il traffico e avvisa gli amministratori di potenziali minacce, mentre IPS intercetta immediatamente le attività dannose.
Prevenire gli attacchi di iniezione SQL
Gli attacchi di iniezione SQL mirano a inserire codice dannoso nelle istruzioni SQL per recuperare informazioni non autorizzate o danneggiare il database. Segui questi passaggi per prevenire tali attacchi:
- Passare a Modulo Firewall > Prevenzione delle intrusioni > Libreria delle firme.
- Fare clic sull'icona di aggiornamento per assicurarsi che le informazioni sulla libreria delle firme siano aggiornate.
- Impostare la modalità su Notifica e blocca nel Modulo Firewall > Prevenzione delle intrusioni > IDS/IPS.
- Seleziona un livello di protezione della sicurezza (basso, medio, alto, estremamente alto o personalizzato) in base alle tue esigenze.
- Configura il livello di protezione della sicurezza in base alle tue preferenze.
Registri di sicurezza IDS/IPS
Dopo aver configurato le impostazioni, qualsiasi tentativo di attacco SQL injection verrà monitorato e bloccato dal dispositivo GCC. Le informazioni corrispondenti verranno visualizzate nei registri di sicurezza.
Domande frequenti (FAQ)
D: Con quale frequenza viene aggiornato il database delle minacce?
R: Il database delle minacce viene aggiornato regolarmente e automaticamente dal GCC a seconda del piano acquistato. Gli aggiornamenti possono essere programmati settimanalmente o in una data/ora specifica.
D: Quali tipi di attacchi vengono monitorati in ciascun livello di protezione della sicurezza?
A: Diversi livelli di protezione (Basso, Medio, Alto, Estremamente alto, Personalizzato) monitorano e bloccano vari attacchi come Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, exploit di vulnerabilità, File Caricamento, strumenti di hacking e phishing.
Introduzione
Il dispositivo di convergenza GCC è dotato di due importanti funzionalità di sicurezza principali, ovvero l'IDS (Intrusion Detection System) e l'IPS (Intrusion Prevention System), ciascuna delle quali ha uno scopo specifico: monitorare attivamente e prevenire attività dannose identificando e bloccando vari tipi e livelli di minaccia in tempo reale.
- Sistemi di rilevamento delle intrusioni (IDS): monitorano passivamente il traffico e avvisano gli amministratori di potenziali minacce senza intervento diretto.
- Sistemi di prevenzione delle intrusioni (IPS): intercettano immediatamente le attività dannose.
In questa guida configureremo una protezione contro il rilevamento e la prevenzione delle intrusioni contro un tipo comune di web attacchi noti come SQL injection.
Prevenire gli attacchi tramite IDS/IPS
L'attacco di iniezione SQL è un tipo di attacco progettato per inserire codice dannoso nelle istruzioni SQL, con l'obiettivo di recuperare informazioni non autorizzate dall' web database del server oppure danneggiare il database immettendo un comando o un input dannoso.
Per prevenire l'attacco di iniezione, seguire i passaggi indicati di seguito:
- Passare a Modulo Firewall → Prevenzione delle intrusioni → Libreria delle firme.
- Fare clic sull'icona
- per assicurarsi che le informazioni della libreria delle firme siano aggiornate.
Nota
- Il database delle minacce viene aggiornato regolarmente e automaticamente dal GCC a seconda del piano acquistato.
- L'intervallo di aggiornamento può essere programmato in modo che venga attivato settimanalmente oppure in una data/ora assoluta.
Passare a Modulo Firewall → Prevenzione delle intrusioni → IDS/IPS.
Impostando la modalità su Notifica e blocca, qualsiasi azione sospetta verrà monitorata e salvata nel registro di sicurezza; verrà inoltre bloccata la fonte dell'attacco.
Selezionare il livello di protezione della sicurezza, sono supportati diversi livelli di protezione:
- Basso: quando la protezione è impostata su "Basso", i seguenti attacchi verranno monitorati e/o bloccati: Iniezione, Forza Bruta, Path Traversal, DoS, Trojan, Webconchiglia.
- Medio: quando la protezione è impostata su "Medio", i seguenti attacchi verranno monitorati e/o bloccati: Iniezione, Forza Bruta, Path Traversal, DoS, Trojan, Webshell, exploit di vulnerabilità, File Caricamento, Strumenti di hacking, Phishing.
- Alto: quando la protezione è impostata su "Alto", i seguenti attacchi verranno monitorati e/o bloccati: Iniezione, Forza Bruta, Path Traversal, DoS, Trojan, Webshell, exploit di vulnerabilità, File Caricamento, Strumenti di hacking, Phishing.
- Estremamente alto: tutti i vettori di attacco verranno bloccati.
- Personalizzato: il livello di protezione personalizzato consente all'utente di selezionare solo specifici tipi di attacchi da rilevare e bloccare dal dispositivo GCC. Per ulteriori informazioni, fare riferimento alla sezione [Definizioni dei tipi di attacco]. Imposteremo il livello di protezione di sicurezza su Personalizzato.
Una volta impostata la configurazione, se un aggressore tenta di avviare un'iniezione SQL, questa verrà monitorata e bloccata dal dispositivo GCC e le informazioni sull'azione corrispondente verranno visualizzate nei registri di sicurezza come mostrato di seguito:
A view Per maggiori informazioni su ogni registro, puoi cliccare sull'icona corrispondente alla voce del registro:
Definizioni dei tipi di attacco
Lo strumento IDS/IPS ha la capacità di proteggere da vari vettori di attacco; nella tabella seguente spiegheremo brevemente ciascuno di essi:
| Tipo di attacco | Descrizione | Example |
| Iniezione | Gli attacchi di iniezione si verificano quando dati non attendibili vengono inviati a un interprete come parte di un comando o di una query, inducendo l'interprete a eseguire comandi indesiderati o ad accedere a dati non autorizzati. | L'iniezione di SQL in un modulo di accesso può consentire a un aggressore di aggirare l'autenticazione. |
| Forza bruta | Gli attacchi brute force consistono nel provare numerose password o frasi d'accesso nella speranza di indovinare alla fine quella corretta, verificando sistematicamente tutte le password possibili. | Tentare di inserire più combinazioni di password in una pagina di accesso. |
| Deserializzare | Gli attacchi di deserializzazione si verificano quando dati non attendibili vengono deserializzati, provocando l'esecuzione di codice arbitrario o altri abusi. | Un aggressore che fornisce oggetti serializzati dannosi. |
| Informazioni | Gli attacchi di divulgazione delle informazioni mirano a raccogliere informazioni sul sistema bersaglio per facilitare ulteriori attacchi. | Sfruttare una vulnerabilità per leggere configurazioni sensibili files. |
Attraversamento del percorso |
Gli attacchi di attraversamento del percorso mirano ad accedere files e directory memorizzate all'esterno del web cartella radice manipolando le variabili che fanno riferimento files con sequenze “../”. | Accedere a /etc/passwd su un sistema Unix attraversando le directory. |
| Sfruttamento delle vulnerabilità | Lo sfruttamento implica l'approfittaretage delle vulnerabilità del software per causare comportamenti indesiderati o ottenere un accesso non autorizzato. | Sfruttare una vulnerabilità di buffer overflow per eseguire codice arbitrario. |
| File Caricamento | File gli attacchi di caricamento comportano il caricamento di materiale dannoso files a un server per eseguire codice o comandi arbitrari. | Caricamento di un web script shell per ottenere il controllo sul server. |
| Rete Protocollo | Monitoraggio e rilevamento di anomalie nei protocolli di rete per identificare traffico potenzialmente dannoso. | Uso insolito di protocolli quali ICMP, ARP, ecc. |
| DoS (Negazione del servizio) | Gli attacchi DoS mirano a rendere una macchina o una risorsa di rete indisponibile per gli utenti a cui sono destinati, sommergendola con un flusso di traffico Internet. | Invio di un volume elevato di richieste a un web il server esaurisce le sue risorse. |
| Phishing | Il phishing consiste nell'ingannare gli individui inducendoli a divulgare informazioni riservate tramite e-mail ingannevoli o websiti. | Un'e-mail falsa che sembra provenire da una fonte attendibile e che chiede agli utenti di inserire le proprie credenziali. |
| Tunnel | Gli attacchi di tunneling comportano l'incapsulamento di un tipo di traffico di rete in un altro per aggirare i controlli di sicurezza o i firewall. | Utilizzo del tunneling HTTP per inviare traffico non HTTP tramite una connessione HTTP. |
| IoT (Internet delle cose) | Monitoraggio e rilevamento di anomalie nei dispositivi IoT per prevenire potenziali attacchi mirati a questi dispositivi. | Modelli di comunicazione insoliti da parte dei dispositivi IoT che indicano una possibile compromissione. |
| Troiano | I trojan horse sono programmi dannosi che ingannano gli utenti sulle loro vere intenzioni, spesso fornendo una backdoor all'aggressore. | Un programma apparentemente innocuo che, se eseguito, consente a un aggressore di accedere al sistema. |
| Minatore di monete | I CoinMiner sono software dannosi progettati per estrarre criptovalute utilizzando le risorse del computer infetto. | Uno script di mining nascosto che sfrutta la potenza della CPU/GPU per estrarre criptovalute. |
| Verme | I worm sono malware autoreplicanti che si diffondono nelle reti senza bisogno dell'intervento umano. | Un worm che si diffonde attraverso le condivisioni di rete per infettare più computer. |
| Riscatto | Il ransomware crittografa i dati della vittima filee richiede il pagamento di un riscatto per ripristinare l'accesso ai dati. | Un programma che crittografa filee visualizza una richiesta di riscatto in cui si richiede il pagamento in criptovaluta. |
| APT (minaccia persistente avanzata) | Gli APT sono attacchi informatici prolungati e mirati in cui un intruso ottiene l'accesso a una rete e rimane inosservato per un lungo periodo di tempo. | Un attacco sofisticato che prende di mira i dati sensibili di una specifica organizzazione. |
| Webconchiglia | Web le shell sono script che forniscono un web-interfaccia basata su per gli aggressori per eseguire comandi su un computer compromesso web server. | Uno script PHP caricato su un web server che consente all'aggressore di eseguire comandi shell. |
| Strumenti di hacking | Gli strumenti di hacking sono software progettati per facilitare l'accesso non autorizzato ai sistemi. | Strumenti come Metasploit o Mimikatz vengono utilizzati per test di penetrazione o attacchi informatici dannosi. |
Dispositivi supportati
| Modello del dispositivo | Firmware richiesto |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
Hai bisogno di supporto?
Non trovi la risposta che cerchi? Non preoccuparti, siamo qui per aiutarti!
Documenti / Risorse
 |
Soluzioni di convergenza di rete UC Plus per il rilevamento delle intrusioni della serie GRANDSTREAM GCC6000 [pdf] Guida utente GCC6000, Serie GCC6000, Serie GCC6000 Rilevamento delle intrusioni UC Plus Soluzioni di convergenza di rete, Rilevamento delle intrusioni UC Plus Soluzioni di convergenza di rete, Rilevamento UC Plus Soluzioni di convergenza di rete, Soluzioni di convergenza di rete, Soluzioni |
