GRANDSTREAM GCC6000-Serie Intrusion Detection UC Plus Netzwerk-Konvergenzlösungen
Produktspezifikationen
- Marke: Grandstream Networks, Inc.
- Produktserie: GCC6000-Serie
- Funktionen: IDS (Intrusion Detection System) und IPS (Intrusion Prevention System)
Anweisungen zur Produktverwendung
Einführung in IDS und IPS
Das GCC-Konvergenzgerät ist aus Sicherheitsgründen mit IDS und IPS ausgestattet. IDS überwacht passiv den Datenverkehr und warnt Administratoren vor potenziellen Bedrohungen, während IPS schädliche Aktivitäten sofort abfängt.
Verhindern von SQL-Injection-Angriffen
SQL-Injection-Angriffe zielen darauf ab, Schadcode in SQL-Anweisungen einzufügen, um unbefugt Informationen abzurufen oder die Datenbank zu beschädigen. Befolgen Sie diese Schritte, um solche Angriffe zu verhindern:
- Navigieren Sie zu Firewall-Modul > Intrusion Prevention > Signaturbibliothek.
- Klicken Sie auf das Aktualisierungssymbol, um sicherzustellen, dass die Informationen zur Signaturbibliothek auf dem neuesten Stand sind.
- Stellen Sie den Modus im Firewall-Modul > Intrusion Prevention > IDS/IPS auf „Benachrichtigen und Blockieren“ ein.
- Wählen Sie entsprechend Ihren Anforderungen eine Sicherheitsschutzstufe (Niedrig, Mittel, Hoch, Extrem hoch oder Benutzerdefiniert) aus.
- Konfigurieren Sie die Sicherheitsschutzstufe entsprechend Ihren Wünschen.
IDS/IPS-Sicherheitsprotokolle
Nach der Konfiguration der Einstellungen wird jeder versuchte SQL-Injection-Angriff vom GCC-Gerät überwacht und blockiert. Die entsprechenden Informationen werden in den Sicherheitsprotokollen angezeigt.
Häufig gestellte Fragen (FAQ)
F: Wie oft wird die Bedrohungsdatenbank aktualisiert?
A: Die Bedrohungsdatenbank wird vom GCC je nach erworbenem Plan regelmäßig und automatisch aktualisiert. Updates können wöchentlich oder zu einem bestimmten Datum/Zeitpunkt geplant werden.
F: Welche Arten von Angriffen werden in jeder Sicherheitsschutzstufe überwacht?
A: Verschiedene Schutzstufen (Niedrig, Mittel, Hoch, Extrem Hoch, Benutzerdefiniert) überwachen und blockieren verschiedene Angriffe wie Injection, Brute Force, Path Traversal, DoS, Trojaner, WebShell, Ausnutzung von Sicherheitslücken, File Upload, Hacking-Tools und Phishing.
Einführung
Das GCC-Konvergenzgerät ist mit zwei wichtigen Sicherheitsfunktionen ausgestattet: IDS (Intrusion Detection System) und IPS (Intrusion Prevention System). Beide dienen dem spezifischen Zweck, böswillige Aktivitäten aktiv zu überwachen und zu verhindern, indem sie verschiedene Arten und Stufen von Bedrohungen in Echtzeit identifizieren und blockieren.
- Intrusion Detection Systems (IDS): Überwachen passiv den Datenverkehr und warnen Administratoren vor potenziellen Bedrohungen ohne direktes Eingreifen.
- Intrusion Prevention Systems (IPS): fangen schädliche Aktivitäten sofort ab.
In diesem Handbuch konfigurieren wir einen Schutz vor Angriffen gegen einen häufigen Typ von web Angriffe, die als SQL-Injections bekannt sind.
Abwehr von Angriffen mit IDS/IPS
SQL-Injection-Angriffe sind Angriffe, bei denen bösartiger Code in SQL-Anweisungen eingefügt wird, um unbefugt Informationen aus dem web Sie können die Datenbank des Servers beschädigen oder die Datenbank durch die Eingabe schädlicher Befehle oder Eingaben beschädigen.
Befolgen Sie die nachstehenden Schritte, um den Injektionsangriff zu verhindern:
- Navigieren Sie zu Firewall-Modul → Intrusion Prevention → Signaturbibliothek.
- Klicken Sie auf das Symbol
- um sicherzustellen, dass die Informationen zur Signaturbibliothek aktuell sind.
Notiz
- Die Bedrohungsdatenbank wird vom GCC je nach erworbenem Plan regelmäßig und automatisch aktualisiert.
- Das Aktualisierungsintervall kann so geplant werden, dass es entweder wöchentlich oder zu einem absoluten Datum/Uhrzeit ausgelöst wird.
Navigieren Sie zu Firewall-Modul → Intrusion Prevention → IDS/IPS.
Stellen Sie den Modus auf „Benachrichtigen und Blockieren“. Dadurch werden verdächtige Aktionen überwacht und im Sicherheitsprotokoll gespeichert. Außerdem wird die Quelle des Angriffs blockiert.
Wählen Sie die Sicherheitsschutzstufe aus. Es werden verschiedene Schutzstufen unterstützt:
- Niedrig: Wenn der Schutz auf „Niedrig“ eingestellt ist, werden folgende Angriffe überwacht und/oder blockiert: Injection, Brute Force, Path Traversal, DoS, Trojaner, WebHülse.
- Mittel: Wenn der Schutz auf „Mittel“ eingestellt ist, werden folgende Angriffe überwacht und/oder blockiert: Injection, Brute Force, Path Traversal, DoS, Trojaner, WebShell, Ausnutzung von Sicherheitslücken, File Hochladen, Hacking-Tools, Phishing.
- Hoch: Wenn der Schutz auf „Hoch“ eingestellt ist, werden folgende Angriffe überwacht und/oder blockiert: Injection, Brute Force, Path Traversal, DoS, Trojaner, WebShell, Ausnutzung von Sicherheitslücken, File Hochladen, Hacking-Tools, Phishing.
- Extrem hoch: Alle Angriffsvektoren werden blockiert.
- Benutzerdefiniert: Die benutzerdefinierte Schutzstufe ermöglicht dem Benutzer, nur bestimmte Arten von Angriffen auszuwählen, die vom GCC-Gerät erkannt und blockiert werden sollen. Weitere Informationen finden Sie im Abschnitt [Definitionen der Angriffsarten]. Wir werden die Sicherheitsschutzstufe auf „Benutzerdefiniert“ setzen.
Sobald die Konfiguration festgelegt ist, wird der Versuch eines Angreifers, eine SQL-Injection zu starten, vom GCC-Gerät überwacht und blockiert. Die entsprechenden Aktionsinformationen werden in den Sicherheitsprotokollen wie unten dargestellt angezeigt:
Zu view Weitere Informationen zu jedem Protokoll erhalten Sie, indem Sie auf das dem Protokolleintrag entsprechende Symbol klicken:
Definitionen der Angriffsarten
Das IDS/IPS-Tool kann vor verschiedenen Angriffsmethoden schützen. In der folgenden Tabelle erläutern wir jeden einzelnen kurz:
| Angriffstyp | Beschreibung | Example |
| Injektion | Injektionsangriffe treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden, wodurch der Interpreter dazu verleitet wird, unbeabsichtigte Befehle auszuführen oder auf nicht autorisierte Daten zuzugreifen. | Durch SQL-Injection in einem Anmeldeformular kann ein Angreifer die Authentifizierung umgehen. |
| Brutale Gewalt | Bei Brute-Force-Angriffen werden viele Passwörter oder Passphrasen ausprobiert, in der Hoffnung, durch systematisches Überprüfen aller möglichen Passwörter schließlich die richtige Antwort zu finden. | Versuch mehrerer Kennwortkombinationen auf einer Anmeldeseite. |
| Deserialisieren | Bei Deserialisierungsangriffen handelt es sich um Angriffe, bei denen nicht vertrauenswürdige Daten deserialisiert werden, was zur Ausführung willkürlichen Codes oder anderen Ausnutzungen führen kann. | Ein Angreifer stellt bösartige serialisierte Objekte bereit. |
| Information | Ziel von Angriffen mit Informationsoffenlegung ist es, Informationen über das Zielsystem zu sammeln, um weitere Angriffe zu ermöglichen. | Ausnutzen einer Sicherheitslücke zum Lesen sensibler Konfigurationen files. |
Pfaddurchquerung |
Path-Traversal-Angriffe zielen auf den Zugriff files und Verzeichnisse, die außerhalb des web Stammordner durch Manipulation von Variablen, die verweisen files mit „../“-Sequenzen. | Zugriff auf /etc/passwd auf einem Unix-System durch Durchsuchen von Verzeichnissen. |
| Ausnutzung von Schwachstellen | Ausbeutung bedeutet, Vorteile zu nutzentagDurch Software-Schwachstellen kann es zu unbeabsichtigtem Verhalten oder unbefugtem Zugriff kommen. | Ausnutzen einer Pufferüberlauf-Sicherheitslücke zum Ausführen beliebigen Codes. |
| File Hochladen | File Bei Upload-Angriffen werden bösartige files an einen Server, um beliebigen Code oder beliebige Befehle auszuführen. | Hochladen einer web Shell-Skript, um die Kontrolle über den Server zu erlangen. |
| Netzwerk Protokoll | Überwachen und Erkennen von Anomalien in Netzwerkprotokollen, um potenziell bösartigen Datenverkehr zu identifizieren. | Ungewöhnliche Verwendung von Protokollen wie ICMP, ARP usw. |
| DoS (Dienstverweigerung) | Ziel von DoS-Angriffen ist es, einen Rechner oder eine Netzwerkressource durch eine Flut von Internetverkehr für die vorgesehenen Benutzer unzugänglich zu machen. | Senden einer großen Anzahl von Anfragen an eine web Server seine Ressourcen erschöpft. |
| Phishing | Beim Phishing werden Personen dazu verleitet, vertrauliche Informationen durch betrügerische E-Mails preiszugeben oder webStandorte. | Eine gefälschte E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt und Benutzer auffordert, ihre Anmeldeinformationen einzugeben. |
| Tunnel | Bei Tunnelangriffen wird eine Art von Netzwerkverkehr in einer anderen gekapselt, um Sicherheitskontrollen oder Firewalls zu umgehen. | Verwenden von HTTP-Tunneling, um Nicht-HTTP-Verkehr über eine HTTP-Verbindung zu senden. |
| IoT (Internet der Dinge) | Überwachen und Erkennen von Anomalien in IoT-Geräten, um potenzielle Angriffe auf diese Geräte zu verhindern. | Ungewöhnliche Kommunikationsmuster von IoT-Geräten, die auf eine mögliche Gefährdung hinweisen. |
| Trojan | Trojanische Pferde sind Schadprogramme, die Benutzer über ihre wahren Absichten täuschen und dem Angreifer häufig eine Hintertür bieten. | Ein scheinbar harmloses Programm, das einem Angreifer bei Ausführung Zugriff auf das System gewährt. |
| CoinMiner | CoinMiner sind Schadsoftware, die darauf ausgelegt ist, unter Nutzung der Ressourcen infizierter Rechner Kryptowährungen zu schürfen. | Ein verstecktes Mining-Skript, das CPU-/GPU-Leistung zum Mining von Kryptowährungen nutzt. |
| Wurm | Würmer sind selbstreplizierende Schadsoftware, die sich ohne menschliches Eingreifen über Netzwerke verbreitet. | Ein Wurm, der sich über Netzwerkfreigaben verbreitet und mehrere Computer infiziert. |
| Ransomware | Ransomware verschlüsselt die files und verlangt eine Lösegeldzahlung, um den Zugriff auf die Daten wiederherzustellen. | Ein Programm, das verschlüsselt files und zeigt eine Lösegeldforderung an, in der die Zahlung in Kryptowährung gefordert wird. |
| APT (Erweiterte, anhaltende Bedrohung) | APTs sind langwierige und gezielte Cyberangriffe, bei denen sich ein Eindringling Zugriff auf ein Netzwerk verschafft und für einen längeren Zeitraum unentdeckt bleibt. | Ein ausgeklügelter Angriff, der auf vertrauliche Daten einer bestimmten Organisation abzielt. |
| WebHülse | Web Shells sind Skripte, die eine web-basierte Schnittstelle für Angreifer zur Ausführung von Befehlen auf einem kompromittierten web Server. | Ein PHP-Skript hochgeladen auf eine web Server, der es dem Angreifer ermöglicht, Shell-Befehle auszuführen. |
| Hacking-Tools | Hacking-Tools sind Software, die dazu dient, unbefugten Zugriff auf Systeme zu ermöglichen. | Tools wie Metasploit oder Mimikatz werden für Penetrationstests oder böswilliges Hacken verwendet. |
Unterstützte Geräte
| Gerätemodell | Firmware erforderlich |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
Brauche Support?
Sie können die gesuchte Antwort nicht finden? Keine Sorge, wir sind hier, um zu helfen!
Dokumente / Ressourcen
 |
GRANDSTREAM GCC6000-Serie Intrusion Detection UC Plus Netzwerk-Konvergenzlösungen [pdf] Benutzerhandbuch GCC6000, GCC6000-Serie, GCC6000-Serie Intrusion Detection UC Plus Netzwerkkonvergenzlösungen, Intrusion Detection UC Plus Netzwerkkonvergenzlösungen, Detection UC Plus Netzwerkkonvergenzlösungen, Netzwerkkonvergenzlösungen, Lösungen |
