GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus Networking Convergence Solutions
Mga Detalye ng Produkto
- Brand: Grandstream Networks, Inc.
- Serye ng Produkto: Serye ng GCC6000
- Mga Tampok: IDS (Intrusion Detection System) at IPS (Intrusion Prevention System)
Mga Tagubilin sa Paggamit ng Produkto
Panimula sa IDS at IPS
Ang GCC convergence device ay nilagyan ng IDS at IPS para sa mga layuning pangseguridad. Passively sinusubaybayan ng IDS ang trapiko at inaalerto ang mga administrator ng mga potensyal na banta, habang ang IPS ay agad na humarang sa mga mapaminsalang aktibidad.
Pag-iwas sa SQL Injection Attacks
Ang mga pag-atake ng SQL injection ay naglalayong magpasok ng malisyosong code sa mga pahayag ng SQL upang makuha ang hindi awtorisadong impormasyon o makapinsala sa database. Sundin ang mga hakbang na ito upang maiwasan ang mga ganitong pag-atake:
- Mag-navigate sa Firewall Module > Intrusion Prevention > Signature Library.
- Mag-click sa icon ng update upang matiyak na napapanahon ang Impormasyon sa Signature Library.
- Itakda ang mode sa Notify at Block sa Firewall Module > Intrusion Prevention > IDS/IPS.
- Pumili ng Antas ng Proteksyon ng Seguridad (Mababa, Katamtaman, Mataas, Napakataas, o Custom) batay sa iyong mga pangangailangan.
- I-configure ang Antas ng Proteksyon ng Seguridad ayon sa iyong mga kagustuhan.
Mga Log ng Seguridad ng IDS/IPS
Pagkatapos i-configure ang mga setting, ang anumang tangkang pag-atake ng SQL injection ay susubaybayan at iba-block ng GCC device. Ang kaukulang impormasyon ay ipapakita sa mga log ng seguridad.
Mga Madalas Itanong (FAQ)
T: Gaano kadalas ina-update ang database ng pagbabanta?
A: Ang database ng pagbabanta ay regular at awtomatikong ina-update ng GCC depende sa binili na plano. Maaaring iiskedyul ang mga update linggu-linggo o sa isang partikular na petsa/oras.
T: Anong mga uri ng pag-atake ang sinusubaybayan sa bawat Antas ng Proteksyon ng Seguridad?
A: Ang iba't ibang antas ng proteksyon (Mababa, Katamtaman, Mataas, Napakataas, Custom) ay sumusubaybay at humaharang sa iba't ibang pag-atake tulad ng Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Mag-upload, Mga Tool sa Pag-hack, at Phishing.
Panimula
Ang GCC convergence device ay nilagyan ng dalawang pangunahing mahalagang tampok sa seguridad na kung saan ay ang IDS (Intrusion detection System) at IPS (Intrusion Prevention System), bawat isa ay nagsisilbi ng isang tiyak na layunin upang aktibong subaybayan at maiwasan ang mga malisyosong aktibidad sa pamamagitan ng pagtukoy at pagharang sa iba't ibang uri at antas ng banta sa real time.
- Intrusion Detection Systems (IDS): pasibong subaybayan ang trapiko at alerto ang mga administrator ng mga potensyal na banta nang walang direktang interbensyon.
- Intrusion Prevention System (IPS): agad na humarang sa mga mapaminsalang aktibidad.
Sa gabay na ito, magko-configure kami ng intrusion detection at proteksyon sa pag-iwas laban sa isang karaniwang uri ng web mga pag-atake na kilala bilang mga SQL injection.
Pag-iwas sa mga pag-atake gamit ang IDS/IPS
Ang pag-atake ng SQL injection, ay isang uri ng pag-atake na itinalaga upang maglagay ng malisyosong code sa mga pahayag ng SQL, sa layuning makuha ang hindi awtorisadong impormasyon mula sa web database ng server, o sirain ang database sa pamamagitan ng pagpasok ng nakakapinsalang command o input.
Mangyaring sundin ang mga hakbang sa ibaba upang maiwasan ang pag-atake ng iniksyon:
- Mag-navigate sa Firewall Module → Intrusion Prevention → Signature Library.
- I-click ang icon
- upang matiyak na ang Impormasyon sa Signature Library ay napapanahon.
Tandaan
- Ang database ng pagbabanta ay regular at awtomatikong ina-update ng GCC depende sa binili na plano.
- Ang agwat ng pag-update ay maaaring naka-iskedyul na ma-trigger lingguhan, o sa isang ganap na petsa/oras.
Mag-navigate sa Firewall Module → Intrusion Prevention → IDS/IPS.
Itakda ang mode sa Notify & Block, susubaybayan nito ang anumang kahina-hinalang aksyon at ise-save ito sa security log, haharangan din nito ang pinagmulan ng pag-atake.
Piliin ang Antas ng Proteksyon ng Seguridad, iba't ibang antas ng proteksyon ang sinusuportahan:
- Mababa: Kapag ang proteksyon ay nakatakda sa "Mababa", ang mga sumusunod na pag-atake ay susubaybayan at/o haharangan: Injection, Brute Force, Path Traversal, DoS, Trojan, Webkabibi.
- Medium: Kapag ang proteksyon ay nakatakda sa "Medium", ang mga sumusunod na pag-atake ay susubaybayan at/o haharangan: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Mag-upload, Mga Tool sa Pag-hack, Phishing.
- Mataas: Kapag ang proteksyon ay nakatakda sa "Mataas", ang mga sumusunod na pag-atake ay susubaybayan at/o haharangan: Injection, Brute Force, Path Traversal, DoS, Trojan, Webshell, Vulnerability Exploit, File Mag-upload, Mga Tool sa Pag-hack, Phishing.
- Napakataas: Iba-block ang lahat ng attack vectors.
- Custom: pinapayagan ng custom na antas ng proteksyon ang user na pumili lamang ng mga partikular na uri ng pag-atake na matutukoy at ma-block ng GCC device, mangyaring sumangguni sa seksyong [Mga Uri ng Pag-atake] para sa higit pang impormasyon, itatakda namin ang Antas ng Proteksyon ng seguridad sa Custom.
Kapag naitakda na ang configuration, Kung sinubukan ng isang attacker na maglunsad ng SQL injection, ito ay susubaybayan at iba-block ng GCC device, at ang kaukulang impormasyon ng pagkilos ay ipapakita sa mga log ng seguridad tulad ng ipinapakita sa ibaba:
Upang view higit pang impormasyon sa bawat log, maaari mong i-click ang icon na naaayon sa log entry:
Mga Kahulugan ng Mga Uri ng Pag-atake
Ang tool ng IDS/IPS ay may kakayahang magprotekta laban sa iba't ibang vector ng pag-atake, maikli naming ipapaliwanag ang bawat isa sa mga ito sa talahanayan sa ibaba:
| Uri ng Pag-atake | Paglalarawan | Example |
| Iniksyon | Nagaganap ang mga pag-atake sa pag-injection kapag ang hindi pinagkakatiwalaang data ay ipinadala sa isang interpreter bilang bahagi ng isang command o query, nililinlang ang interpreter sa pagsasagawa ng mga hindi sinasadyang command o pag-access ng hindi awtorisadong data. | Ang SQL Injection sa isang form sa pag-login ay maaaring payagan ang isang umaatake na i-bypass ang pagpapatotoo. |
| Brute Force | Kasama sa mga pag-atake ng brute force ang pagsubok ng maraming password o passphrase na may pag-asang mahulaan nang tama ang huli sa pamamagitan ng sistematikong pagsuri sa lahat ng posibleng password. | Pagsubok ng maraming kumbinasyon ng password sa isang login page. |
| I-unserialize | Nagaganap ang mga pag-atake ng unserialization kapag na-deserialize ang hindi pinagkakatiwalaang data, na humahantong sa arbitrary na pagpapatupad ng code o iba pang mga pagsasamantala. | Isang attacker na nagbibigay ng mga malisyosong serialized na bagay. |
| Impormasyon | Ang mga pag-atake sa pagbubunyag ng impormasyon ay naglalayong mangalap ng impormasyon tungkol sa target na sistema upang mapadali ang mga karagdagang pag-atake. | Pinagsasamantalahan ang isang kahinaan upang basahin ang sensitibong configuration files. |
Path Traversal |
Path traversal attacks ay naglalayong ma-access files at mga direktoryo na nakaimbak sa labas ng web root folder sa pamamagitan ng pagmamanipula ng mga variable na tumutukoy files na may "../" na mga sequence. | Pag-access sa /etc/passwd sa isang Unix system sa pamamagitan ng pagtawid sa mga direktoryo. |
| Pagsasamantala sa mga Kahinaan | Kasama sa pagsasamantala ang pagkuha ng advantage ng mga kahinaan sa software na magdulot ng hindi sinasadyang pag-uugali o makakuha ng hindi awtorisadong pag-access. | Pagsasamantala sa isang buffer overflow na kahinaan upang magsagawa ng arbitrary code. |
| File Mag-upload | File Kasama sa mga pag-atake sa pag-upload ang pag-upload ng nakakahamak files sa isang server upang magsagawa ng di-makatwirang code o mga utos. | Pag-upload ng a web shell script upang makakuha ng kontrol sa server. |
| Network Protocol | Pagsubaybay at pagtuklas ng mga anomalya sa mga protocol ng network upang matukoy ang potensyal na malisyosong trapiko c. | Hindi pangkaraniwang paggamit ng mga protocol tulad ng ICMP, ARP, atbp. |
| DoS (Pagtanggi sa Serbisyo) | Ang mga pag-atake ng DoS ay naglalayon na gawing hindi magagamit ang isang makina o mapagkukunan ng network sa mga nilalayong user nito sa pamamagitan ng pagpaparami nito ng baha ng internet traffic c. | Nagpapadala ng mataas na dami ng mga kahilingan sa a web server upang maubos ang mga mapagkukunan nito. |
| Phishing | Kasama sa phishing ang panlilinlang sa mga indibidwal na ibunyag ang kumpidensyal na impormasyon sa pamamagitan ng mga mapanlinlang na email o webmga site. | Isang pekeng email na mukhang mula sa isang pinagkakatiwalaang pinagmulan, na nag-uudyok sa mga user na ilagay ang kanilang mga kredensyal. |
| Tunnel | Ang mga pag-atake sa tunneling ay kinabibilangan ng pag-encapsulate ng isang uri ng network traffic sa loob ng isa pa upang i-bypass ang mga kontrol sa seguridad o mga firewall. | Paggamit ng HTTP tunneling upang magpadala ng hindi HTTP na trapiko sa pamamagitan ng isang HTTP na koneksyon. |
| IoT (Internet of Things) | Pagsubaybay at pag-detect ng mga anomalya sa mga IoT device para maiwasan ang mga potensyal na pag-atake na nagta-target sa mga device na ito. | Mga hindi pangkaraniwang pattern ng komunikasyon mula sa mga IoT device na nagsasaad ng posibleng kompromiso. |
| Trojan | Ang mga Trojan horse ay mga malisyosong programa na nanlilinlang sa mga gumagamit ng kanilang tunay na layunin, kadalasang nagbibigay ng backdoor sa umaatake. | Isang tila hindi nakakapinsalang programa na nagbibigay sa isang umaatake ng access sa system kapag naisakatuparan. |
| CoinMiner | Ang CoinMiners ay malisyosong software na idinisenyo upang minahan ng cryptocurrency gamit ang mga mapagkukunan ng nahawaang makina. | Isang nakatagong mining script na gumagamit ng CPU/GPU power para magmina ng cryptocurrency. |
| Uod | Ang mga worm ay self-replicating malware na kumakalat sa mga network nang hindi nangangailangan ng interbensyon ng tao. | Isang uod na kumakalat sa pamamagitan ng network shares upang makahawa sa maraming makina. |
| Ransomware | Ang Ransomware ay nag-e-encrypt ng isang biktima files at humihingi ng ransom na pagbabayad upang maibalik ang access sa data. | Isang program na nag-e-encrypt files at nagpapakita ng ransom note na humihingi ng bayad sa cryptocurrency. |
| APT (Advanced Persistent Threat) | Ang mga APT ay matagal at naka-target na cyberattack kung saan ang isang nanghihimasok ay nakakakuha ng access sa isang network at nananatiling hindi natukoy sa loob ng mahabang panahon. | Isang sopistikadong pag-atake na nagta-target ng sensitibong data ng isang partikular na organisasyon. |
| Webkabibi | Web Ang mga shell ay mga script na nagbibigay ng a web-based na interface para sa mga umaatake upang magsagawa ng mga utos sa isang nakompromiso web server. | Isang PHP script na na-upload sa a web server na nagpapahintulot sa umaatake na magpatakbo ng mga utos ng shell. |
| Mga Tool sa Pag-hack | Ang mga tool sa pag-hack ay software na idinisenyo upang mapadali ang hindi awtorisadong pag-access sa mga system. | Mga tool tulad ng Metasploit o Mimikatz na ginagamit para sa pagsubok sa penetration o malisyosong pag-hack. |
Mga Suportadong Device
| Modelo ng Device | Kinakailangan ang Firmware |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
Kailangan ng Suporta?
Hindi mahanap ang sagot na hinahanap mo? Huwag mag-alala nandito kami para tumulong!
Mga Dokumento / Mga Mapagkukunan
 |
GRANDSTREAM GCC6000 Series Intrusion Detection UC Plus Networking Convergence Solutions [pdf] Gabay sa Gumagamit GCC6000, GCC6000 Series, GCC6000 Series Intrusion Detection UC Plus Networking Convergence Solutions, Intrusion Detection UC Plus Networking Convergence Solutions, Detection UC Plus Networking Convergence Solutions, Networking Convergence Solutions, Solutions |
