GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus rešitve za konvergenco omrežja

Specifikacije izdelka

• Blagovna znamka: Grandstream Networks, Inc.
• Serija izdelkov: serija GCC6000
• Lastnosti: IDS (sistem za zaznavanje vdorov) in IPS (sistem za preprečevanje vdorov)

Navodila za uporabo izdelka

Uvod v IDS in IPS
Konvergenčna naprava GCC je zaradi varnosti opremljena z IDS in IPS. IDS pasivno spremlja promet in opozori skrbnike na morebitne grožnje, medtem ko IPS takoj prestreže škodljive dejavnosti.

Preprečevanje napadov z vbrizgavanjem SQL
Cilj napadov z vbrizgavanjem SQL je vstaviti zlonamerno kodo v stavke SQL, da bi pridobili nepooblaščene informacije ali poškodovali bazo podatkov. Sledite tem korakom, da preprečite takšne napade:

1. Pomaknite se do Modul požarnega zidu > Preprečevanje vdorov > Knjižnica podpisov.
2. Kliknite ikono za posodobitev, da zagotovite, da so informacije o knjižnici podpisov posodobljene.
3. Nastavite način na Obvesti in blokiraj v Modul požarnega zidu > Preprečevanje vdorov > IDS/IPS.
4. Izberite raven varnostne zaščite (nizka, srednja, visoka, izjemno visoka ali po meri) glede na vaše potrebe.
5. Konfigurirajte raven varnostne zaščite glede na vaše želje.

Varnostni dnevniki IDS/IPS
Po konfiguraciji nastavitev bo vsak poskus napada z vbrizgavanjem SQL nadzorovan in blokiran z napravo GCC. Ustrezne informacije bodo prikazane v varnostnih dnevnikih.

Pogosto zastavljena vprašanja (FAQ)

V: Kako pogosto se posodablja baza podatkov o grožnjah?
O: Bazo podatkov o grožnjah GCC redno in samodejno posodablja glede na kupljeni načrt. Posodobitve lahko načrtujete tedensko ali na določen datum/uro.

V: Katere vrste napadov se spremljajo na vsaki ravni varnostne zaščite?
O: Različne ravni zaščite (nizka, srednja, visoka, izjemno visoka, po meri) spremljajo in blokirajo različne napade, kot so vbrizgavanje, brutalna sila, prečkanje poti, DoS, trojanski, Weblupina, izkoriščanje ranljivosti, File Nalaganje, orodja za hekerje in lažno predstavljanje.

Uvod

Konvergenčna naprava GCC je opremljena z dvema glavnima pomembnima varnostnima funkcijama, in sicer IDS (sistem za zaznavanje vdorov) in IPS (sistem za preprečevanje vdorov), od katerih vsaka služi posebnemu namenu za aktivno spremljanje in preprečevanje zlonamernih dejavnosti s prepoznavanjem in blokiranjem različnih vrst in ravni grožnja v realnem času.

• Sistemi za zaznavanje vdorov (IDS): pasivno spremljajo promet in opozorijo skrbnike na morebitne grožnje brez neposrednega posredovanja.
• Sistemi za preprečevanje vdorov (IPS): takoj prestrežejo škodljive dejavnosti.

V tem priročniku bomo konfigurirali zaščito za zaznavanje in preprečevanje vdorov pred eno običajno vrsto web napadi, znani kot injekcije SQL.

Preprečevanje napadov z uporabo IDS/IPS
Napad z vbrizgavanjem SQL je vrsta napada, namenjenega vstavljanju zlonamerne kode v stavke SQL z namenom pridobivanja nepooblaščenih informacij iz web podatkovno bazo strežnika ali prekinete bazo podatkov z vnosom škodljivega ukaza ali vnosa.
Sledite spodnjim korakom, da preprečite napad z vbrizgavanjem:

• Pomaknite se do modula požarnega zidu → Preprečevanje vdorov → Knjižnica podpisov.
• Kliknite ikono
• da zagotovite, da so informacije o knjižnici podpisov posodobljene.

Opomba

• Bazo podatkov o grožnjah GCC redno in samodejno posodablja glede na kupljeni načrt.
• Interval posodabljanja je mogoče načrtovati tako, da se sproži tedensko ali na absolutni datum/čas.

Pomaknite se do modula požarnega zidu → Preprečevanje vdorov → IDS/IPS.
Nastavite način na Obvesti in blokiraj, to bo nadzorovalo morebitna sumljiva dejanja in jih shranilo v varnostni dnevnik, prav tako bo blokiralo vir napada.

Izberite raven varnostne zaščite, podprte so različne ravni zaščite:

1. Nizka: Ko je zaščita nastavljena na »Nizka«, bodo nadzorovani in/ali blokirani naslednji napadi: vbrizgavanje, brutalna sila, prečkanje poti, DoS, trojanski, Weblupina.
2. Srednja: Ko je zaščita nastavljena na »Srednja«, bodo nadzorovani in/ali blokirani naslednji napadi: vbrizgavanje, groba sila, prečkanje poti, DoS, trojanski, Weblupina, izkoriščanje ranljivosti, File Nalaganje, orodja za hekerje, lažno predstavljanje.
3. Visoka: Ko je zaščita nastavljena na »Visoka«, bodo naslednji napadi nadzorovani in/ali blokirani: vbrizgavanje, brutalna sila, prečkanje poti, DoS, trojanski, Weblupina, izkoriščanje ranljivosti, File Nalaganje, orodja za hekerje, lažno predstavljanje.
4. Izjemno visoko: vsi napadalni vektorji bodo blokirani.
5. Po meri: stopnja zaščite po meri omogoča uporabniku, da izbere samo določene vrste napadov, ki jih naprava GCC zazna in blokira; za več informacij glejte razdelek [Opredelitve vrst napadov], raven zaščite varnosti bomo nastavili na Po meri.

Ko je konfiguracija nastavljena, če napadalec poskuša zagnati vbrizgavanje SQL, ga bo nadzorovala in blokirala naprava GCC, ustrezne informacije o dejanju pa bodo prikazane v varnostnih dnevnikih, kot je prikazano spodaj:

Za view več informacij o posameznem dnevniku, lahko kliknete ikono, ki ustreza vnosu v dnevnik:

Definicije vrst napadov

Orodje IDS/IPS ima zmožnost zaščite pred različnimi vektorji napadov, vsakega od njih bomo na kratko razložili v spodnji tabeli:

Vrsta napada	Opis	Example
Injekcija	Napadi z vbrizgavanjem se pojavijo, ko se nezaupljivi podatki pošljejo tolmaču kot del ukaza ali poizvedbe, s čimer se tolmač zavede v izvajanje nenamernih ukazov ali dostop do nepooblaščenih podatkov.	Vbrizgavanje SQL v obrazcu za prijavo lahko napadalcu omogoči, da obide avtentikacijo.
Surova sila	Napadi s surovo silo vključujejo preizkušanje številnih gesel ali fraz z upanjem, da boste na koncu pravilno uganili s sistematičnim preverjanjem vseh možnih gesel.	Poskus več kombinacij gesel na prijavni strani.
Razveljavi serijo	Napadi z unserializacijo se pojavijo, ko so nezaupljivi podatki deserializirani, kar vodi do izvajanja poljubne kode ali drugih zlorab.	Napadalec, ki zagotavlja zlonamerne serializirane predmete.
Informacije	Napadi z razkritjem informacij so namenjeni zbiranju informacij o ciljnem sistemu za olajšanje nadaljnjih napadov.	Izkoriščanje ranljivosti za branje občutljive konfiguracije files.

Prehod poti	Cilj napadov s prečkanjem poti je dostop files in imeniki, shranjeni zunaj web korensko mapo z manipulacijo spremenljivk, ki se sklicujejo files z zaporedji “../”.	Dostop do /etc/passwd v sistemu Unix s prečkanjem imenikov.
Izkoriščanje ranljivosti	Izkoriščanje vključuje jemanje prednostitage ranljivosti programske opreme, da povzročijo nenamerno vedenje ali pridobijo nepooblaščen dostop.	Izkoriščanje ranljivosti prekoračitve medpomnilnika za izvajanje poljubne kode.
File Naloži	File napadi nalaganja vključujejo nalaganje zlonamernih vsebin files strežnikom za izvajanje poljubne kode ali ukazov.	Nalaganje a web lupinski skript za pridobitev nadzora nad strežnikom.
Omrežje Protokol	Spremljanje in odkrivanje nepravilnosti v omrežnih protokolih za prepoznavanje potencialno zlonamernega prometa.	Nenavadna uporaba protokolov, kot so ICMP, ARP itd.
DoS (Zavrnitev storitve)	Cilj napadov DoS je narediti stroj ali omrežni vir nedosegljiv predvidenim uporabnikom, tako da ga preplavijo s poplavo internetnega prometa.	Pošiljanje velikega števila zahtev a web strežniku, da izčrpa svoje vire.
Lažno predstavljanje	Lažno predstavljanje vključuje prevaro posameznikov, da razkrijejo zaupne informacije prek zavajajoče elektronske pošte ali webstrani.	Lažna e-pošta, za katero se zdi, da je iz zaupanja vrednega vira, ki od uporabnikov zahteva, da vnesejo svoje poverilnice.
Tunel	Napadi s tuneliranjem vključujejo enkapsulacijo ene vrste omrežnega prometa v drugo, da zaobidejo varnostne kontrole ali požarne zidove.	Uporaba tuneliranja HTTP za pošiljanje prometa, ki ni HTTP, prek povezave HTTP.
IoT (Internet stvari)	Spremljanje in odkrivanje anomalij v napravah IoT za preprečevanje morebitnih napadov, usmerjenih v te naprave.	Nenavadni komunikacijski vzorci iz naprav IoT, ki kažejo na možen kompromis.
Trojan	Trojanski konji so zlonamerni programi, ki uporabnike zavedejo glede njihovih resničnih namenov in napadalcu pogosto predstavljajo stransko pot.	Na videz neškodljiv program, ki napadalcu omogoči dostop do sistema, ko se zažene.
CoinMiner	CoinMiners so zlonamerna programska oprema, namenjena rudarjenju kriptovalut z uporabo virov okuženega stroja.	Skriti rudarski skript, ki uporablja moč CPE/GPE za rudarjenje kriptovalute.
Črv	Črvi so samopodvajajoča zlonamerna programska oprema, ki se širi po omrežjih brez potrebe po človeškem posredovanju.	Črv, ki se širi po omrežnih skupnih rabah in okuži več strojev.
Ransomware	Ransomware šifrira žrtve files in zahteva plačilo odkupnine za obnovitev dostopa do podatkov.	Program, ki šifrira files in prikaže obvestilo o odkupnini, ki zahteva plačilo v kriptovaluti.
APT (napredna trajna grožnja)	APT so dolgotrajni in ciljani kibernetski napadi, kjer vsiljivec pridobi dostop do omrežja in ostane neodkrit dalj časa.	Sofisticiran napad, usmerjen na občutljive podatke določene organizacije.
Weblupina	Web lupine so skripte, ki zagotavljajo a webvmesnik za napadalce za izvajanje ukazov na ogroženi web strežnik.	Skript PHP, naložen v a web strežnik, ki napadalcu omogoča izvajanje ukazov lupine.
Orodja za vdiranje	Orodja za vdiranje so programska oprema, ki omogoča nepooblaščen dostop do sistemov.	Orodja, kot sta Metasploit ali Mimikatz, ki se uporabljajo za testiranje penetracije ali zlonamerno hekanje.

Podprte naprave

Model naprave	Zahtevana vdelana programska oprema
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Potrebujem podporo?
Ne najdete odgovora, ki ga iščete? Ne skrbite, tukaj smo, da vam pomagamo!

Dokumenti / Viri

GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus rešitve za konvergenco omrežja [pdf] Uporabniški priročnik GCC6000, serija GCC6000, serija GCC6000 Rešitve za konvergenco omrežja UC Plus za zaznavanje vdorov, rešitve za konvergenco omrežja UC Plus za zaznavanje vdorov, rešitve za konvergenco omrežja Detection UC Plus, rešitve za konvergenco omrežja, rešitve

Reference

• Uporabniški priročnik