コンテンツ 隠れる
1 GRANDSTREAM GCC6000 シリーズ侵入検知 UC Plus ネットワーキング コンバージェンス ソリューション
2 製品使用説明書
3 導入
4 攻撃タイプの定義
5 パストラバーサル
6 ドキュメント / リソース
6.1 参考文献
7 関連記事

GRANDSTREAM-ロゴ

GRANDSTREAM GCC6000 シリーズ侵入検知 UC Plus ネットワーキング コンバージェンス ソリューション

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーキング-コンバージェンス-ソリューション-製品

製品仕様

  • ブランド: Grandstream Networks, Inc.
  • 製品シリーズ: GCC6000 シリーズ
  • 機能: IDS (侵入検知システム) と IPS (侵入防止システム)

製品使用説明書

IDS と IPS の概要
GCC コンバージェンス デバイスには、セキュリティ目的で IDS と IPS が搭載されています。IDS はトラフィックを受動的に監視し、潜在的な脅威を管理者に警告します。一方、IPS は有害なアクティビティを即座に阻止します。

SQLインジェクション攻撃の防止
SQL インジェクション攻撃は、SQL ステートメントに悪意のあるコードを挿入して、許可されていない情報を取得したり、データベースに損害を与えたりすることを目的としています。このような攻撃を防ぐには、次の手順に従ってください。

  1. ファイアウォール モジュール > 侵入防止 > 署名ライブラリに移動します。
  2. 更新アイコンをクリックして、署名ライブラリ情報が最新であることを確認します。
  3. ファイアウォール モジュール > 侵入防止 > IDS/IPS でモードを通知とブロックに設定します。
  4. ニーズに応じて、セキュリティ保護レベル (低、中、高、非常に高、またはカスタム) を選択します。
  5. 好みに応じてセキュリティ保護レベルを構成します。

IDS/IPS セキュリティ ログ
設定が完了すると、試行された SQL インジェクション攻撃はすべて GCC デバイスによって監視およびブロックされ、対応する情報がセキュリティ ログに表示されます。

よくある質問(FAQ)

Q: 脅威データベースはどのくらいの頻度で更新されますか?
A: 脅威データベースは、購入したプランに応じて GCC によって定期的に自動的に更新されます。更新は毎週または特定の日時にスケジュールできます。

Q: 各セキュリティ保護レベルではどのような種類の攻撃が監視されますか?
A: 異なる保護レベル(低、中、高、極めて高、カスタム)は、インジェクション、ブルートフォース、パストラバーサル、DoS、トロイの木馬などのさまざまな攻撃を監視およびブロックします。 Webシェル、脆弱性の悪用、 File アップロード、ハッキングツール、フィッシング。

導入

GCC コンバージェンス デバイスには、IDS (侵入検知システム) と IPS (侵入防止システム) という 2 つの主要な重要なセキュリティ機能が搭載されており、それぞれがさまざまな種類とレベルの脅威をリアルタイムで識別してブロックすることで、悪意のあるアクティビティを積極的に監視して防止するという特定の目的を果たします。

  • 侵入検知システム (IDS): トラフィックを受動的に監視し、直接介入することなく潜在的な脅威を管理者に警告します。
  • 侵入防止システム (IPS): 有害なアクティビティを即座に阻止します。

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (1)

このガイドでは、一般的なタイプの侵入検知と防御保護を設定します。 web SQL インジェクションと呼ばれる攻撃。

IDS/IPSを使用した攻撃の防止
SQLインジェクション攻撃は、SQL文に悪意のあるコードを挿入し、不正な情報を外部から取得することを目的とした攻撃の一種です。 web サーバーのデータベースにアクセスしたり、有害なコマンドや入力を入力してデータベースを破壊したりします。
インジェクション攻撃を防ぐには、以下の手順に従ってください。

  • ファイアウォール モジュール → 侵入防止 → 署名ライブラリに移動します。
  • アイコンをクリック
  • 署名ライブラリ情報が最新であることを確認します。

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (2)

注記

  • 脅威データベースは、購入したプランに応じて GCC によって定期的に自動的に更新されます。
  • 更新間隔は、毎週、または絶対的な日付/時刻でトリガーされるようにスケジュールできます。

ファイアウォール モジュール → 侵入防止 → IDS/IPS に移動します。
モードを「通知とブロック」に設定すると、疑わしいアクションが監視され、セキュリティ ログに保存され、攻撃元もブロックされます。

セキュリティ保護レベルを選択します。さまざまな保護レベルがサポートされています。

  1. 低: 保護が「低」に設定されている場合、以下の攻撃が監視および/またはブロックされます: インジェクション、ブルートフォース、パストラバーサル、DoS、トロイの木馬、 Webシェル。
  2. 中: 保護が「中」に設定されている場合、次の攻撃が監視および/またはブロックされます: インジェクション、ブルートフォース、パストラバーサル、DoS、トロイの木馬、 Webシェル、脆弱性の悪用、 File アップロード、ハッキングツール、フィッシング。
  3. 高: 保護が「高」に設定されている場合、次の攻撃が監視および/またはブロックされます: インジェクション、ブルートフォース、パストラバーサル、DoS、トロイの木馬、 Webシェル、脆弱性の悪用、 File アップロード、ハッキングツール、フィッシング。
  4. 非常に高い: すべての攻撃ベクトルがブロックされます。
  5. カスタム: カスタム保護レベルでは、ユーザーは GCC デバイスによって検出およびブロックされる特定の種類の攻撃のみを選択できます。詳細については、[攻撃の種類の定義] セクションを参照してください。セキュリティ保護レベルをカスタムに設定します。

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (3)

設定が完了すると、攻撃者が SQL インジェクションを実行しようとすると、GCC デバイスによって監視およびブロックされ、対応するアクション情報が以下のようにセキュリティ ログに表示されます。

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (4)

に view 各ログの詳細情報を表示するには、ログエントリに対応するアイコンをクリックします。

GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (5) GRANDSTREAM-GCC6000 シリーズ-侵入検知-UC-Plus-ネットワーク統合ソリューション- (6)

攻撃タイプの定義

IDS/IPS ツールにはさまざまな攻撃ベクトルから保護する機能があり、以下の表でそれぞれについて簡単に説明します。

攻撃タイプ 説明 Example
注射 インジェクション攻撃は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信され、インタープリターが意図しないコマンドを実行したり、許可されていないデータにアクセスしたりするときに発生します。 ログイン フォームでの SQL インジェクションにより、攻撃者が認証をバイパスできる可能性があります。
ブルートフォース ブルートフォース攻撃では、すべての可能性のあるパスワードを体系的にチェックして、最終的に正しく推測することを期待して、多数のパスワードまたはパスフレーズを試します。 ログイン ページで複数のパスワードの組み合わせを試みます。
アンシリアル化 非シリアル化攻撃は、信頼できないデータが逆シリアル化されるときに発生し、任意のコードの実行やその他の悪用につながります。 悪意のあるシリアル化されたオブジェクトを提供する攻撃者。
情報 情報漏洩攻撃は、さらなる攻撃を容易にするために、標的のシステムに関する情報を収集することを目的としています。 脆弱性を悪用して機密構成を読み取る files.

パストラバーサル

 パストラバーサル攻撃は、 fileおよびディレクトリの外部に保存されている web ルートフォルダを参照する変数を操作することで file「../」シーケンスを含むs。 ディレクトリをトラバースして Unix システム上の /etc/passwd にアクセスします。
脆弱性の悪用 搾取には、tagソフトウェアの脆弱性を悪用して、意図しない動作を引き起こしたり、不正アクセスを取得したりする可能性があります。 バッファオーバーフローの脆弱性を悪用して任意のコードを実行する。
File アップロード File アップロード攻撃は悪意のあるアップロードを伴う fileサーバーに接続して任意のコードやコマンドを実行します。 アップロード中 web サーバーを制御するためのシェル スクリプト。
ネットワーク プロトコル ネットワーク プロトコルの異常を監視および検出し、潜在的に悪意のあるトラフィックを識別します。 ICMP、ARP などのプロトコルの異常な使用。
DoS(サービス拒否) DoS 攻撃は、大量のインターネット トラフィックを送信してマシンまたはネットワーク リソースを対象ユーザーが利用できない状態にすることを目的としています。 大量のリクエストを web サーバーのリソースを使い果たします。
フィッシング フィッシングとは、偽の電子メールや webサイト。 信頼できるソースから送信されたように見える偽の電子メールで、ユーザーに資格情報の入力を促します。
トンネル トンネリング攻撃では、ある種類のネットワーク トラフィックを別の種類のトラフィック内にカプセル化して、セキュリティ制御やファイアウォールを回避します。 HTTP トンネリングを使用して、HTTP 接続を介して非 HTTP トラフィックを送信します。
IoT(モノのインターネット) IoT デバイスを標的とした潜在的な攻撃を防ぐために、IoT デバイスの異常を監視および検出します。 侵害の可能性を示す IoT デバイスからの異常な通信パターン。
トロイの木馬 トロイの木馬は、ユーザーを真の意図から誤解させ、攻撃者にバックドアを提供する悪意のあるプログラムです。 一見無害なプログラムですが、実行されると攻撃者がシステムにアクセスできるようになります。
コインマイナー CoinMiners は、感染したマシンのリソースを使用して暗号通貨をマイニングするように設計された悪意のあるソフトウェアです。 CPU/GPU パワーを利用して暗号通貨をマイニングする隠しマイニング スクリプト。
ワーム ワームは、人間の介入を必要とせずにネットワーク全体に拡散する自己複製型のマルウェアです。 ネットワーク共有を介して拡散し、複数のマシンに感染するワーム。
ランサムウェア ランサムウェアは被害者の fileデータへのアクセスを回復するために身代金の支払いを要求します。 暗号化するプログラム files と表示され、暗号通貨での支払いを要求する身代金要求メッセージが表示されます。
APT(高度な持続的脅威) APT は、侵入者がネットワークにアクセスし、長期間にわたって検出されないままになる、長期にわたる標的型サイバー攻撃です。 特定の組織の機密データを標的とした高度な攻撃。
Webシェル Web シェルは、 web攻撃者が侵入したシステム上でコマンドを実行するための、 web サーバ。 PHPスクリプトをアップロードすると、 web 攻撃者がシェルコマンドを実行できるサーバー。
ハッキングツール ハッキングツールは、システムへの不正アクセスを容易にするために設計されたソフトウェアです。 侵入テストや悪意のあるハッキングに使用される Metasploit や Mimikatz などのツール。

サポートされているデバイス

 デバイスモデル  ファームウェアが必要
 GCC6010W  1.0.1.7以上
 GCC6010  1.0.1.7以上
 GCC6011  1.0.1.7以上

サポートが必要?
お探しの答えが見つかりませんか? 心配する必要はありません。

ドキュメント / リソース

GRANDSTREAM GCC6000 シリーズ侵入検知 UC Plus ネットワーキング コンバージェンス ソリューション [pdf] ユーザーガイド
GCC6000、GCC6000 シリーズ、GCC6000 シリーズ侵入検知 UC Plus ネットワーキング コンバージェンス ソリューション、侵入検知 UC Plus ネットワーキング コンバージェンス ソリューション、検知 UC Plus ネットワーキング コンバージェンス ソリューション、ネットワーキング コンバージェンス ソリューション、ソリューション

参考文献

関連記事

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *