Bezpečnostní ochrana řady GRANDSTREAM GCC6000

Specifikace

• Produkt: Příručka bezpečnostní obrany řady GCC6000
• Výrobce: Grandstream Networks, Inc.
• Vlastnosti: DoS Defense, ARP Protection

Návod k použití produktu

DoS obrana
Funkce DoS Defense pomáhá chránit síť před útoky Flood blokováním požadavků SYNC. Chcete-li zabránit útokům DoS, postupujte takto:

1. Povolte ochranu před útokem Flood na portech síťových služeb, jako je port443 a port 80.
2. Nakonfigurujte obranu před útoky Flood pro jiné protokoly, jako jsou UDP, ICMP nebo TCP Acknowledgments.
3. Povolte detekci Port Scan, aby byla upozorněna, když se hostitel pokusí o útok SYN flood.

Ochrana ARP
Funkce ARP Protection pomáhá předcházet útokům ARP Spoofing. Zde je návod, jak nakonfigurovat ochranu ARP:

1. Povolit spoofing Defense v modulu Firewall Security Defense Ochrana ARP.
2. Chcete-li zabránit pokusům o falšování ARP, nastavte akci na Blokovat.
3. Povolte obranu proti spoofingu ARP a nakonfigurujte možnosti pro blokování odpovědí ARP s nekonzistentními adresami MAC.

Statický seznam ARP
Chcete-li vytvořit statický seznam ARP pro další ochranu:

1. Ujistěte se, že je povolena obrana spoofingu v modulu Firewall Security Defense Ochrana ARP.
2. Přidejte nové pravidlo mapování s místní IP adresou a odpovídající MAC adresou.
3. Definujte typ rozhraní na základě scénáře instalace.

Často kladené otázky (FAQ)

Otázka: Jak mohu view bezpečnostní protokoly po konfiguraci bezpečnostní ochrany?
A: Můžete view protokoly zabezpečení, které zobrazují informace o útocích a akcích provedených v části Protokol zabezpečení rozhraní zařízení GCC.

Otázka: Co mám dělat, když mám podezření na útok ARP Spoofing?
Odpověď: Máte-li podezření na útok ARP Spoofing, povolte Spoofing Defense a nakonfigurujte možnosti ARP Spoofing Defense tak, aby blokovaly nekonzistentní odpovědi ARP.

Zavedení

Security Defense je mechanismus implementovaný v konvergenčním zařízení GCC k ochraně sítě před běžnými kybernetickými útoky, jako jsou DoS útoky, Man-in-the-middle útok, ARP Spoofing…
Každý nástroj bude mít sadu parametrů a konfiguračních položek, které buď zablokují, izolují nebo odstraní zdrojový koncový bod, ze kterého byl útok detekován.
V této příručce si projdeme některé obranné metody používané zařízením GCC k ochraně sítě před potenciálními výpadky nebo zranitelností zabezpečení.
Průvodce se bude zabývat následujícími konfiguracemi:

• DoS obrana
• Ochrana ARP

DoS obrana
Ochrana před útokem Flood, jak název napovídá, se používá k zablokování připojených koncových bodů před zahlcením sítě požadavky SYNC, čehož je dosaženo provedením obrany SYNC FLOOD na portech síťových služeb (port 443, port 80…), a pokud si toho všimne že je na cílové zařízení odesíláno příliš mnoho požadavků, zablokuje synchronizační zprávy nebo informuje správce sítě, v závislosti na způsobu konfigurace.

Některé počáteční náznaky útoku jsou: skenování portů, kdy GCC signalizuje pokus o skenování všech portů interních služeb a zjišťuje, zda je aktuálně používán nějaký konkrétní port, jako je port 21 pro FTP, port 22 pro přístup SSH…, tyto druhy informace mohou způsobit zranitelnost v síti, pokud je získají nesprávnou osobou, a mohou jí pomoci v některých případech zahltit síť a spustit útok Denial-of-Service, abychom minimalizovali rizika, můžeme povolit funkci detekce skenování portů víme, když se uživatel pokouší o skenování portu.

Prevence DoS útoku
Abychom zabránili záplavovému útoku, můžeme na zařízení GCC postupovat podle následujících kroků:

1. V části „Firewall Module → Security Defense → DoS Defense“ povolte možnost DoS Defense.
2. Nastavte akci na „Blokovat“, upozorní uživatele na pokus o SYN FLOOD a zároveň zablokuje uživatele v odesílání útoků SYN FLOOD, nastavením akce na „Monitor“ bude uživatel pouze informován, že došlo k útoku. pokusu, informace mohou být viewed v bezpečnostních protokolech zařízení GCC.
3. Nastavte práh paketů TCP SYN Flood (paketů/s) na 2000 paketů za sekundu, pokud toto množství překročí, systém to bude považovat za SYN Flood.
   Stejným způsobem máte možnost povolit obranu proti Flood attack pro další protokoly, jako je UDP, ICMP nebo pro TCP Acknowlegments.
4. Navíc povolíme možnost detekce skenování portů, zařízení GCC nás upozorní, když se připojený hostitel pokouší spustit útok SYN flood, což nám může pomoci přijmout preventivní opatření.
5. Definujte práh paketu skenování portu (pakety/s) na 50 paketů za sekundu. Pokud pakety portu dosáhnou prahové hodnoty, okamžitě se spustí detekce skenování portů. Po použití výše uvedené konfigurace bude poté, co se uživatel pokusí zaplavit síť, síť zablokována a zařízení GCC nezaznamená žádné výpadky.
   Můžete view bezpečnostní protokoly zobrazující informace o přesném čase útoku a typu akce, pouze monitorované nebo blokované

Ochrana ARP

Spoofing Defense je bezpečnostní mechanismus používaný k zabránění připojeným uživatelům, ke změně a úpravě jejich síťových informací, v našem případě se zaměříme na preventivní opatření proti útokům MAC spoofing.
MAC spoofing útok zahrnuje změnu MAC adresy síťového rozhraní na zařízení, aby se vydávalo za jiné zařízení v síti. To lze použít k obejití řízení přístupu k síti, jako je ověřování 802.1X, zamaskování zařízení útočníka nebo zachycení síťového provozu určeného pro jiné zařízení.

Prevence spoofingu ARP
Zařízení GCC umožňuje svým uživatelům zabránit takovým útokům spoofingu ARP implementací specifických pravidel pro zablokování opětovného připojení zařízení a získání upravené MAC adresy, což lze provést podle následujících kroků:

1. V části „Firewall Module → Security Defense → ARP Protection“ povolte možnost Spoofing Defense.
2. Nastavte akci na „Blokovat“, zablokuje zařízení ve sledování provozu mezi obětí a routerem, také upozorní uživatele, že došlo k pokusu o falšování ARP, to může být viewed v protokolu zabezpečení.
3. Povolte ARP Spoofing Defense povolením následujících možností: „Blokovat odpovědi ARP s nekonzistentními zdrojovými MAC adresami“ a „Blokovat odpovědi ARP s nekonzistentními cílovými MAC adresami“
4. Navíc můžete povolit odmítnutí „Odmítnout VRRP MAC do tabulky ARP“ včetně jakékoli vygenerované virtuální MAC adresy v tabulce ARP.

Blokovat odpovědi ARP s nekonzistentními zdrojovými adresami MAC: Zařízení GCC ověří cílovou MAC adresu konkrétního paketu, a když zařízení obdrží odpověď, ověří zdrojovou MAC adresu a ujistí se, že se shodují. V opačném případě zařízení GCC paket nepřepošle.

Blokovat odpovědi ARP s nekonzistentními cílovými MAC adresami: GCC601X(W) po obdržení odpovědi ověří zdrojovou MAC adresu. Zařízení ověří cílovou MAC adresu a ujistí se, že se shodují. V opačném případě zařízení paket nepřepošle.

Odmítněte VRRP MAC do tabulky ARP: Protokol VRRP (Virtual Router Redundancy Protocol) umožňuje více směrovačům spravovat jedinou virtuální IP adresu pro vysokou dostupnost. Tato obrana zajišťuje, že MAC adresy VRRP nejsou přijímány do tabulky ARP, což může zabránit určitým typům útoků, které zahrnují VRRP.

Statický seznam ARP
Kromě výše zmíněných použitých nástrojů a možností by dalším užitečným přístupem bylo mapování MAC na IP adresu, a to tak, že firewallu GCC uvedete seznam IP adres ve vaší lokální síti a jim odpovídající povolené MAC adresy, to znamená, že pokud se útočník ve vaší LAN pokusí vydávat za jednu z přidaných IP adres, ale s jinou MAC adresou, bude detekován jako pokus o falšování a bude zablokován. Toho je dosaženo pomocí funkce nazvané Statický seznam ARP.

Vezmeme níže uvedený příkladample pro lepší pochopení:
Pro připojený interní server s lokální statickou IP adresou 192.168.3.230 provedeme následující:

1. Přejděte do modulu Firewall → Bezpečnostní obrana → Ochrana ARP → Statický seznam ARP a předtím se ujistěte, že je povolena ochrana proti falšování v části Modul brány firewall → Bezpečnostní obrana → Ochrana ARP → Obrana proti spoofingu
2. Klikněte přidat nové pravidlo mapování.
3. Definujte lokální IP adresu koncového bodu, v našem případě je to „192.168.3.230“.
4. Máte možnost buď ručně zadat MAC adresu připojené jednotky, nebo kliknout na „Automatic Acquisition“, abyste mohli automaticky získat MAC adresu zařízení ze seznamu připojených zařízení. tím se namapuje MAC adresa s místní IP adresou
5. Definování typu rozhraní závisí na vašem scénáři nastavení, v našem případě vybereme LAN:
   • LAN: Výběr rozhraní LAN se používá, když chcete chránit vaše interní zařízení před pokusy o vnitřní falšování, mapováním každého zařízení v síti LAN na jeho odpovídající IP adresu, je důležité si uvědomit, že IP adresa musí být nastavena staticky, aby pro aktualizaci pravidla mapování pokaždé s novou IP adresou.
   • WAN: Rozhraní WAN bude vybráno, když chceme chránit naši vnitřní síť tím, že firewallu definujeme veřejnou IP adresu poskytované brány ISP a její odpovídající MAC adresu, což je MAC adresa použitého zařízení brány. užitečné, pokud máte ve své síti hostovaný server, který je vystaven internetu a chcete zajistit, aby s ním mohl komunikovat pouze provoz přicházející z brány.
6. Definujte popis, který odpovídá zařízení.

Výsledky
S použitím obranného mechanismu spoofingu ARP vám může zařízení GCC pomoci zabránit mnoha bezpečnostním hrozbám, jako je útok typu Man-in the middle a pozměňování MAC adresy za účelem obejití ověřování NAC.
V protokolech zabezpečení se zobrazí informace o zablokovaném pokusu o falšování ARP, nezapomeňte nastavit typ útoku na DoS & Spoofing na view protokoly, jak je uvedeno níže:

Podporovaná zařízení

Model zařízení	Je vyžadován firmware
GCC6010W	1.0.1.7+
GCC6010	1.0.1.7+
GCC6011	1.0.1.7+

Potřebujete podporu?
Nemůžete najít odpověď, kterou hledáte? Nebojte se, jsme tu, abychom vám pomohli!

Dokumenty / zdroje

Průvodce bezpečnostní obranou řady GRANDSTREAM GCC6000 [pdfUživatelská příručka GCC6000, GCC6000 Series Security Defense Guide, GCC6000 Series, Security Defense Guide, Defense Guide, Guide

Reference

• Uživatelská příručka