ការការពារសុវត្ថិភាព GRANDSTREAM GCC6000 ស៊េរី

លក្ខណៈបច្ចេកទេស

• ផលិតផល៖ មគ្គុទ្ទេសក៍ការពារសុវត្ថិភាពស៊េរី GCC6000
• ក្រុមហ៊ុនផលិត៖ Grandstream Networks, Inc.
• លក្ខណៈពិសេស៖ ការការពារ DoS, ការការពារ ARP

ការណែនាំអំពីការប្រើប្រាស់ផលិតផល

ការការពារ DoS
មុខងារ DoS Defense ជួយការពារបណ្តាញពីការវាយប្រហារដោយទឹកជំនន់ដោយការទប់ស្កាត់សំណើ SYNC ។ អនុវត្តតាមជំហានទាំងនេះដើម្បីការពារការវាយប្រហារ DoS៖

1. បើកការការពារការវាយប្រហារដោយទឹកជំនន់នៅលើច្រកសេវាបណ្តាញដូចជា port443 និងច្រក 80។
2. កំណត់រចនាសម្ព័ន្ធការការពារការវាយប្រហារដោយទឹកជំនន់សម្រាប់ពិធីការផ្សេងទៀតដូចជា UDP, ICMP ឬ TCP Acknowledgments ។
3. បើកការរកឃើញ Port Scan ដើម្បីឱ្យមានការជូនដំណឹង នៅពេលដែលម៉ាស៊ីនព្យាយាមវាយប្រហារដោយទឹកជំនន់ SYN ។

ការការពារ ARP
មុខងារការពារ ARP ជួយការពារការវាយប្រហារ ARP Spoofing ។ នេះជារបៀបកំណត់រចនាសម្ព័ន្ធការពារ ARP៖

1. បើកការការពារការក្លែងបន្លំនៅក្រោម Firewall Module Security Defense ARP Protection ។
2. កំណត់សកម្មភាពដើម្បីទប់ស្កាត់ ដើម្បីការពារការប៉ុនប៉ងលួចបន្លំ ARP ។
3. បើក ARP Spoofing Defence និងកំណត់រចនាសម្ព័ន្ធជម្រើសដើម្បីទប់ស្កាត់ការឆ្លើយតប ARP ជាមួយនឹងអាសយដ្ឋាន MAC ដែលមិនស្របគ្នា។

បញ្ជី ARP ឋិតិវន្ត
ដើម្បីបង្កើតបញ្ជី ARP ឋិតិវន្តសម្រាប់ការការពារបន្ថែម៖

1. ត្រូវប្រាកដថាការការពារក្លែងក្លាយត្រូវបានបើកនៅក្រោម Firewall Module Security Defense ARP Protection ។
2. បន្ថែមច្បាប់ផែនទីថ្មីជាមួយអាសយដ្ឋាន IP មូលដ្ឋាន និងអាសយដ្ឋាន MAC ដែលត្រូវគ្នា។
3. កំណត់ប្រភេទ Interface ដោយផ្អែកលើសេណារីយ៉ូនៃការដំឡើងរបស់អ្នក។

សំណួរដែលសួរញឹកញាប់ (FAQ)

សំណួរ៖ តើខ្ញុំអាចធ្វើដូចម្តេច view កំណត់ហេតុសុវត្ថិភាពបន្ទាប់ពីកំណត់រចនាសម្ព័ន្ធការពារសុវត្ថិភាព?
ចម្លើយ៖ អ្នកអាចធ្វើបាន view កំណត់ហេតុសុវត្ថិភាពដែលបង្ហាញព័ត៌មានអំពីការវាយប្រហារ និងសកម្មភាពដែលបានធ្វើឡើងនៅក្នុងផ្នែកកំណត់ហេតុសុវត្ថិភាពនៃចំណុចប្រទាក់ឧបករណ៍ GCC ។

សំណួរ៖ តើខ្ញុំគួរធ្វើដូចម្តេចប្រសិនបើខ្ញុំសង្ស័យថាមានការវាយប្រហារ ARP Spoofing?
ចម្លើយ៖ ប្រសិនបើអ្នកសង្ស័យថាការវាយប្រហាររបស់ ARP Spoofing បើកដំណើរការ Spoofing Defence និងកំណត់រចនាសម្ព័ន្ធជម្រើស ARP Spoofing Defence ដើម្បីទប់ស្កាត់ការឆ្លើយតបរបស់ ARP ដែលមិនត្រូវគ្នា។

សេចក្តីផ្តើម

ការការពារសុវត្ថិភាពគឺជាយន្តការមួយដែលត្រូវបានអនុវត្តនៅក្នុងឧបករណ៍រួមរបស់ GCC ដើម្បីការពារបណ្តាញពីការវាយប្រហារតាមអ៊ីនធឺណិតទូទៅ ដូចជាការវាយប្រហារ DoS, ការវាយប្រហារដោយមនុស្សនៅកណ្តាល, ARP Spoofing…
ឧបករណ៍នីមួយៗនឹងមានសំណុំនៃប៉ារ៉ាម៉ែត្រ និងធាតុកំណត់រចនាសម្ព័ន្ធដើម្បីទប់ស្កាត់ ផ្តាច់ខ្លួន ឬលុបចំណុចបញ្ចប់ប្រភពពីកន្លែងដែលការវាយប្រហារត្រូវបានរកឃើញ។
នៅក្នុងការណែនាំនេះ យើងនឹងឆ្លងកាត់វិធីសាស្រ្តការពារមួយចំនួនដែលប្រើដោយឧបករណ៍ GCC ដើម្បីការពារបណ្តាញពីពេលវេលាធ្លាក់ចុះ ឬភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព។
ការណែនាំនឹងគ្របដណ្តប់លើការកំណត់ដូចខាងក្រោម៖

• ការការពារ DoS
• ការការពារ ARP

ការការពារ DoS
ការការពារការវាយប្រហារដោយទឹកជំនន់ ដូចដែលឈ្មោះបង្កប់ន័យ ត្រូវបានប្រើដើម្បីទប់ស្កាត់ចំណុចបញ្ចប់ដែលបានតភ្ជាប់ពីការជន់លិចបណ្តាញជាមួយនឹងសំណើ SYNC វាត្រូវបានសម្រេចដោយការអនុវត្តការការពារ SYNC FLOOD នៅលើច្រកសេវាបណ្តាញ (ច្រក 443 ច្រក 80…) ហើយប្រសិនបើវាកត់សំគាល់ថាសំណើច្រើនពេកកំពុងត្រូវបានផ្ញើទៅកាន់ឧបករណ៍គោលដៅ វានឹងរារាំងអ្នកគ្រប់គ្រងសារដែលធ្វើសមកាលកម្ម ឬជូនដំណឹងអំពីបណ្តាញ។

ការចង្អុលបង្ហាញពីការវាយប្រហារដំបូងមួយចំនួនគឺ៖ ការស្កែនច្រក ដែល GCC នឹងផ្តល់សញ្ញាអំពីការព្យាយាមស្កេនសម្រាប់ច្រកសេវាកម្មខាងក្នុងទាំងអស់ ហើយមើលថាតើច្រកជាក់លាក់ណាមួយត្រូវបានប្រើប្រាស់នាពេលបច្ចុប្បន្ន ដូចជាច្រក 21 សម្រាប់ FTP ច្រក 22 សម្រាប់ការចូលប្រើ SSH… ព័ត៌មានប្រភេទនេះអាចបង្កឱ្យមានភាពងាយរងគ្រោះនៅក្នុងបណ្តាញ ប្រសិនបើទទួលបានដោយមនុស្សខុស ហើយអាចជួយគាត់ក្នុងករណីខ្លះ ជន់លិចបណ្តាញ និងបើកដំណើរការការបដិសេធ ការបដិសេធ។ មុខងារ​ស្វែងរក​ច្រក​ស្កែន​ដើម្បី​ប្រាប់​ឱ្យ​យើង​ដឹង នៅពេល​អ្នក​ប្រើ​កំពុង​ព្យាយាម​ស្កេន​ច្រក។

ការការពារការវាយប្រហារ DoS
ដើម្បីទប់ស្កាត់ការវាយប្រហារដោយទឹកជំនន់ យើងអាចអនុវត្តតាមជំហានខាងក្រោមនៅលើឧបករណ៍ GCC៖

1. នៅក្រោម “Firewall Module → Security Defense → DoS Defense” សូមបើកជម្រើស DoS Defense។
2. កំណត់សកម្មភាពទៅជា “Block” វានឹងជូនដំណឹងដល់អ្នកប្រើប្រាស់អំពីការប៉ុនប៉ង SYN FLOOD ហើយនៅពេលជាមួយគ្នានោះ រារាំងអ្នកប្រើប្រាស់ពីការផ្ញើការវាយប្រហារ SYN FLOOD ដោយការកំណត់សកម្មភាពទៅ “Monitor” នឹងជូនដំណឹងដល់អ្នកប្រើប្រាស់ថាការវាយប្រហារត្រូវបានប៉ុនប៉ងតែប៉ុណ្ណោះ ព័ត៌មានអាចជា viewed នៅលើកំណត់ហេតុសុវត្ថិភាពនៃឧបករណ៍ GCC ។
3. កំណត់កម្រិត TCP SYN Flood Packet Threshold (packets/s) ដល់ 2000 packets ក្នុងមួយវិនាទី ប្រសិនបើបរិមាណលើសពីនោះ ប្រព័ន្ធនឹងចាត់ទុកវាជា SYN Flood។
   ក្នុងលក្ខណៈដូចគ្នានេះ អ្នកមានលទ្ធភាពបើកការការពារការវាយប្រហារដោយទឹកជំនន់សម្រាប់ពិធីការផ្សេងទៀតដូចជា UDP, ICMP ឬសម្រាប់ TCP Acknowlegments ។
4. លើសពីនេះ យើងនឹងបើកជម្រើសការរកឃើញ Port Scan ឧបករណ៍ GCC នឹងជូនដំណឹងដល់យើង នៅពេលដែលម៉ាស៊ីនដែលបានភ្ជាប់កំពុងព្យាយាមបើកការវាយប្រហារដោយទឹកជំនន់ SYN ដែលអាចជួយយើងចាត់វិធានការបង្ការ។
5. កំណត់កម្រិតច្រកកញ្ចប់ស្កេនច្រក (កញ្ចប់/វិនាទី) ទៅជា 50 កញ្ចប់ក្នុងមួយវិនាទី ប្រសិនបើកញ្ចប់ព័ត៌មានច្រកឈានដល់កម្រិតកំណត់ ការស្កេនច្រកនឹងចាប់ផ្តើមភ្លាមៗ។ បន្ទាប់ពីអនុវត្តការកំណត់ខាងលើ បន្ទាប់ពីអ្នកប្រើប្រាស់ព្យាយាមជន់លិចបណ្តាញនោះ វានឹងត្រូវបានរារាំង ហើយឧបករណ៍ GCC នឹងមិនជួបប្រទះនឹងការផ្អាកណាមួយឡើយ។
   អ្នកអាចធ្វើបាន view កំណត់ហេតុសុវត្ថិភាពបង្ហាញព័ត៌មានអំពីពេលវេលាពិតប្រាកដនៃការវាយប្រហារ និងប្រភេទនៃសកម្មភាព ត្រួតពិនិត្យតែប៉ុណ្ណោះ ឬត្រូវបានរារាំង

ការការពារ ARP

Spoofing Defense គឺជាយន្តការសុវត្ថិភាពដែលប្រើដើម្បីការពារអ្នកប្រើប្រាស់ដែលបានភ្ជាប់ ដើម្បីផ្លាស់ប្តូរ និងកែប្រែព័ត៌មានបណ្តាញរបស់ពួកគេ ក្នុងករណីរបស់យើង យើងនឹងផ្តោតលើការចាត់វិធានការការពារប្រឆាំងនឹងការវាយប្រហារក្លែងបន្លំ MAC ។
ការវាយប្រហារក្លែងបន្លំ MAC ពាក់ព័ន្ធនឹងការផ្លាស់ប្តូរអាសយដ្ឋាន MAC នៃចំណុចប្រទាក់បណ្តាញនៅលើឧបករណ៍ ដើម្បីក្លែងបន្លំឧបករណ៍ផ្សេងទៀតនៅលើបណ្តាញ។ វាអាចត្រូវបានប្រើដើម្បីរំលងការគ្រប់គ្រងការចូលប្រើបណ្តាញ ដូចជាការផ្ទៀងផ្ទាត់ 802.1X ក្លែងបន្លំឧបករណ៍របស់អ្នកវាយប្រហារ ឬស្ទាក់ចាប់ចរាចរបណ្តាញដែលមានបំណងសម្រាប់ឧបករណ៍ផ្សេងទៀត។

ការការពារការក្លែងបន្លំ ARP
ឧបករណ៍ GCC អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់របស់ខ្លួនការពារការវាយប្រហារក្លែងបន្លំ ARP បែបនេះ ដោយការអនុវត្តច្បាប់ជាក់លាក់ដើម្បីរារាំងឧបករណ៍ពីការភ្ជាប់ឡើងវិញ និងការទទួលបានអាសយដ្ឋាន MAC ដែលបានកែប្រែ នេះអាចត្រូវបានធ្វើដោយធ្វើតាមជំហានខាងក្រោម៖

1. នៅក្រោម “Firewall Module → Security Defense → ARP Protection” សូមបើកជម្រើសការពារក្លែងក្លាយ។
2. កំណត់សកម្មភាពទៅជា “Block” វានឹងរារាំងឧបករណ៍ពីការស្រូបចរាចររវាងឧបករណ៍ជនរងគ្រោះ និងរ៉ោតទ័រ វាក៏នឹងជូនដំណឹងដល់អ្នកប្រើប្រាស់ថាមានការប៉ុនប៉ងក្លែងបន្លំ ARP បានកើតឡើង នេះអាចជា viewed នៅក្នុងកំណត់ហេតុសុវត្ថិភាព។
3. បើកដំណើរការ ARP Spoofing Defence ដោយបើកជម្រើសខាងក្រោម "រារាំងការឆ្លើយតប ARP ជាមួយអាសយដ្ឋាន MAC ដែលមិនស្របគ្នា" និង "រារាំងការឆ្លើយតប ARP ជាមួយនឹងអាសយដ្ឋាន MAC ទិសដៅមិនស្របគ្នា"
4. លើសពីនេះទៀតអ្នកអាចបើក "បដិសេធ VRRP MAC ចូលទៅក្នុងតារាង ARP" ដើម្បីបដិសេធរួមទាំងអាសយដ្ឋាន MAC និម្មិតដែលបានបង្កើតនៅក្នុងតារាង ARP ។

រារាំងការឆ្លើយតប ARP ជាមួយនឹងអាសយដ្ឋាន MAC ប្រភពមិនស៊ីសង្វាក់គ្នា។៖ ឧបករណ៍ GCC នឹងផ្ទៀងផ្ទាត់អាសយដ្ឋាន MAC ទិសដៅនៃកញ្ចប់ព័ត៌មានជាក់លាក់មួយ ហើយនៅពេលដែលការឆ្លើយតបត្រូវបានទទួលដោយឧបករណ៍ វានឹងផ្ទៀងផ្ទាត់អាសយដ្ឋាន MAC ប្រភព ហើយវានឹងធ្វើឱ្យប្រាកដថាពួកវាត្រូវគ្នា។ បើមិនដូច្នេះទេ ឧបករណ៍ GCC នឹងមិនបញ្ជូនកញ្ចប់ព័ត៌មានឡើយ។

រារាំងការឆ្លើយតប ARP ជាមួយនឹងអាសយដ្ឋាន MAC ទិសដៅមិនស្របគ្នា។៖ GCC601X(W) នឹងផ្ទៀងផ្ទាត់ប្រភព MAC address នៅពេលទទួលបានការឆ្លើយតប។ ឧបករណ៍នឹងផ្ទៀងផ្ទាត់អាសយដ្ឋាន MAC ទិសដៅ ហើយវានឹងធ្វើឱ្យប្រាកដថាពួកវាត្រូវគ្នា។ បើមិនដូច្នោះទេ ឧបករណ៍នឹងមិនបញ្ជូនកញ្ចប់ព័ត៌មានឡើយ។

បដិសេធ VRRP MAC ទៅក្នុងតារាង ARP៖ Virtual Router Redundancy Protocol (VRRP) អនុញ្ញាតឱ្យរ៉ោតទ័រជាច្រើនគ្រប់គ្រងអាសយដ្ឋាន IP និម្មិតតែមួយសម្រាប់ភាពអាចរកបានខ្ពស់។ ការការពារនេះធានាថាអាសយដ្ឋាន VRRP MAC មិនត្រូវបានទទួលយកទៅក្នុងតារាង ARP ដែលអាចការពារប្រភេទនៃការវាយប្រហារមួយចំនួនដែលពាក់ព័ន្ធនឹង VRRP ។

បញ្ជី ARP ឋិតិវន្ត
បន្ថែមពីលើឧបករណ៍ និងជម្រើសដែលបានរៀបរាប់ខាងលើដែលបានប្រើ វិធីសាស្រ្តដ៏មានប្រយោជន៍មួយទៀតគឺការគូសផែនទី MAC ទៅនឹងអាសយដ្ឋាន IP វាត្រូវបានធ្វើដោយបញ្ជាក់ទៅកាន់ជញ្ជាំងភ្លើង GCC បញ្ជីអាសយដ្ឋាន IP នៅក្នុងបណ្តាញមូលដ្ឋានរបស់អ្នក និងអាសយដ្ឋាន MAC ដែលអនុញ្ញាតដែលត្រូវគ្នា នេះមានន័យថា ប្រសិនបើអ្នកវាយប្រហារនៅក្នុង LAN របស់អ្នកព្យាយាមក្លែងបន្លំអាសយដ្ឋាន IP មួយដែលបានបន្ថែម ប៉ុន្តែជាមួយនឹងអាសយដ្ឋាន MAC ផ្សេងគ្នា វានឹងត្រូវបានរកឃើញ។ តាមរយៈមុខងារដែលហៅថា Static ARP List។

យើងនឹងយកឧទាហរណ៍ខាងក្រោមampសម្រាប់ការយល់ដឹងកាន់តែប្រសើរឡើង៖
សម្រាប់ម៉ាស៊ីនមេខាងក្នុងដែលបានតភ្ជាប់ជាមួយអាសយដ្ឋាន IP ឋិតិវន្តមូលដ្ឋាន 192.168.3.230 យើងនឹងធ្វើដូចខាងក្រោម៖

1. ចូលទៅកាន់ Firewall Module → Security Defense → ARP Protection → Static ARP List មុនពេលនោះត្រូវប្រាកដថា ការការពារក្លែងក្លាយត្រូវបានបើកនៅក្រោម Firewall Module → Security Defense → ARP Protection → Spoofing Defense
2. ចុច ដើម្បីបន្ថែមច្បាប់ផែនទីថ្មី។
3. កំណត់អាសយដ្ឋាន IP មូលដ្ឋាននៃចំណុចបញ្ចប់ ក្នុងករណីរបស់យើងវាគឺ "192.168.3.230" ។
4. អ្នកមានជម្រើសក្នុងការបញ្ចូលអាសយដ្ឋាន MAC នៃអង្គភាពដែលបានភ្ជាប់ដោយដៃ ឬចុចលើ "ការទិញដោយស្វ័យប្រវត្តិ" ដើម្បីអាចទាញយកអាសយដ្ឋាន MAC របស់ឧបករណ៍ដោយស្វ័យប្រវត្តិពីបញ្ជីឧបករណ៍ដែលបានភ្ជាប់។ វានឹងគូសផែនទីអាសយដ្ឋាន MAC ជាមួយអាសយដ្ឋាន IP មូលដ្ឋាន
5. ការកំណត់ប្រភេទ Interface អាស្រ័យលើសេណារីយ៉ូនៃការដំឡើងរបស់អ្នក ក្នុងករណីរបស់យើង យើងនឹងជ្រើសរើស LAN៖
   • LAN៖ ការជ្រើសរើសចំណុចប្រទាក់ LAN ត្រូវបានប្រើនៅពេលដែលអ្នកចង់ការពារឧបករណ៍ខាងក្នុងរបស់អ្នកប្រឆាំងនឹងការប៉ុនប៉ងក្លែងបន្លំខាងក្នុង ដោយការគូសផែនទីឧបករណ៍នីមួយៗនៅក្នុង LAN ទៅនឹងអាសយដ្ឋាន IP ដែលត្រូវគ្នារបស់វា វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថាអាសយដ្ឋាន IP ត្រូវតែត្រូវបានកំណត់ជាស្ថាពរ ដើម្បីជៀសវាងការធ្វើបច្ចុប្បន្នភាពច្បាប់ផែនទីរាល់ពេលជាមួយអាសយដ្ឋាន IP ថ្មី។
   • WAN៖ ចំណុចប្រទាក់ WAN នឹងត្រូវបានជ្រើសរើសនៅពេលដែលយើងចង់ការពារបណ្តាញខាងក្នុងរបស់យើងដោយកំណត់ទៅ Firewall នូវអាសយដ្ឋាន IP សាធារណៈរបស់ ISP gateway ដែលបានផ្តល់ឱ្យ ហើយអាសយដ្ឋាន MAC ដែលត្រូវគ្នារបស់វា ដែលជាអាសយដ្ឋាន MAC របស់ឧបករណ៍ច្រកទ្វារដែលបានប្រើ វាមានប្រយោជន៍ប្រសិនបើអ្នកមានម៉ាស៊ីនមេនៅលើបណ្តាញរបស់អ្នក ហើយដែលប៉ះពាល់នឹងអ៊ីនធឺណិត ហើយអ្នកចង់ធានាថា ច្រកចេញចូលមានតែមួយគត់។
6. កំណត់ការពិពណ៌នាដែលត្រូវនឹងឧបករណ៍។

លទ្ធផល
ជាមួយនឹងយន្តការការពារការក្លែងបន្លំ ARP ឧបករណ៍ GCC អាចជួយអ្នកការពារការគំរាមកំហែងផ្នែកសុវត្ថិភាពជាច្រើនដូចជា Man-in the middle attack និងការផ្លាស់ប្តូរអាសយដ្ឋាន MAC ដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ NAC ។
កំណត់ហេតុសុវត្ថិភាពនឹងបង្ហាញព័ត៌មានអំពីការប៉ុនប៉ងក្លែងបន្លំ ARP ដែលបានទប់ស្កាត់ ត្រូវប្រាកដថាកំណត់ប្រភេទនៃការវាយប្រហារទៅ DoS & Spoofing ដើម្បី view កំណត់ហេតុដូចបានបង្ហាញខាងក្រោម៖

ឧបករណ៍ដែលគាំទ្រ

ម៉ូដែលឧបករណ៍	ទាមទារកម្មវិធីបង្កប់
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

ត្រូវការការគាំទ្រ?
រកមិនឃើញចម្លើយដែលអ្នកកំពុងស្វែងរកមែនទេ? កុំបារម្ភ យើងនៅទីនេះដើម្បីជួយ!

ឯកសារ/ធនធាន

ការណែនាំអំពីការការពារសុវត្ថិភាព GRANDSTREAM GCC6000 Series [pdf] ការណែនាំអ្នកប្រើប្រាស់ GCC6000, មគ្គុទ្ទេសក៍ការពារសុវត្ថិភាពស៊េរី GCC6000, ស៊េរី GCC6000, មគ្គុទ្ទេសក៍ការពារសុវត្ថិភាព, មគ្គុទ្ទេសក៍ការពារ, មគ្គុទ្ទេសក៍

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់