ይዘቶች መደበቅ
1 GRANDSTREAM GCC6000 ተከታታይ የደህንነት መከላከያ
2 የምርት አጠቃቀም መመሪያዎች
3 መግቢያ
4 የ ARP ጥበቃ
5 የሚደገፉ መሳሪያዎች
6 ሰነዶች / መርጃዎች
6.1 ዋቢዎች

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ-ምርት

GRANDSTREAM GCC6000 ተከታታይ የደህንነት መከላከያ

GRANDSTREAM-አርማ

ዝርዝሮች

  • ምርት: GCC6000 ተከታታይ የደህንነት መከላከያ መመሪያ
  • አምራች፡ Grandstream Networks፣ Inc.
  • ዋና መለያ ጸባያት፡ DoS Defence፣ ARP ጥበቃ

የምርት አጠቃቀም መመሪያዎች

የዶኤስ መከላከያ
የDoS መከላከያ ባህሪ የሲኤንሲ ጥያቄዎችን በማገድ አውታረ መረቡን ከጎርፍ ጥቃቶች ለመጠበቅ ይረዳል። የ DoS ጥቃቶችን ለመከላከል እነዚህን ደረጃዎች ይከተሉ፡-

  1. እንደ port443 እና port 80 ባሉ የኔትወርክ አገልግሎት ወደቦች ላይ የጎርፍ ጥቃት መከላከያን አንቃ።
  2. የጎርፍ ጥቃት መከላከያን እንደ UDP፣ ICMP ወይም TCP ምስጋናዎች ላሉ ሌሎች ፕሮቶኮሎች ያዋቅሩ።
  3. አስተናጋጁ የSYN ጎርፍ ጥቃትን ሲሞክር ለማስጠንቀቅ ወደብ ስካን ማወቅን ያንቁ።

የ ARP ጥበቃ
የ ARP ጥበቃ ባህሪ የ ARP ስፖፊንግ ጥቃቶችን ለመከላከል ይረዳል። የ ARP ጥበቃን እንዴት ማዋቀር እንደሚቻል እነሆ፡-

  1. በፋየርዎል ሞዱል ደህንነት ጥበቃ ARP ጥበቃ ስር የማፈንዳት መከላከያን አንቃ።
  2. የ ARP ማጭበርበር ሙከራዎችን ለመከላከል እርምጃውን ወደ አግድ ያቀናብሩ።
  3. ARP ስፖፊንግ መከላከያን አንቃ እና ኤአርፒን ለማገድ አማራጮችን አዋቅር ወጥነት ከሌላቸው MAC አድራሻዎች ጋር።

የማይንቀሳቀስ ኤአርፒ ዝርዝር
ለተጨማሪ ጥበቃ የማይንቀሳቀስ ARP ዝርዝር ለመፍጠር፡-

  1. በፋየርዎል ሞዱል ደህንነት መከላከያ ARP ጥበቃ ስር የስፖንዲንግ መከላከያ መንቃቱን ያረጋግጡ።
  2. ከአካባቢው የአይፒ አድራሻ እና ተዛማጅ የማክ አድራሻ ጋር አዲስ የካርታ ስራ ህግ ያክሉ።
  3. በማዋቀር ሁኔታዎ ላይ በመመስረት የበይነገጽ አይነት ይግለጹ።

ተዘውትረው የሚጠየቁ ጥያቄዎች (FAQ)

ጥ: እንዴት እችላለሁ? view የደህንነት ምዝግብ ማስታወሻዎች የደህንነት መከላከያዎችን ካዋቀሩ በኋላ?
መ: ትችላለህ view በጂሲሲ መሳሪያ በይነገጽ የደህንነት ምዝግብ ማስታወሻ ክፍል ውስጥ ስለ ጥቃቶች እና ድርጊቶች መረጃን የሚያሳዩ የደህንነት ምዝግብ ማስታወሻዎች።

ጥ፡ የ ARP ስፖፊንግ ጥቃትን ከተጠራጠርኩ ምን ማድረግ አለብኝ?
መ: የኤአርፒ ስፖፊንግ ጥቃትን ከጠረጠሩ Spoofing Defenseን ያንቁ እና ወጥነት የሌላቸውን የኤአርፒ ምላሾችን ለማገድ የARP Spoofing Defense አማራጮችን ያዋቅሩ።

መግቢያ

የደህንነት መከላከያ በጂሲሲ መሰብሰቢያ መሳሪያ ውስጥ የሚሰራ ዘዴ ሲሆን አውታረ መረቡን ከተለመዱት የሳይበር ጥቃቶች እንደ DoS ጥቃቶች፣ ሰው-በመካከለኛው ጥቃት፣ ARP ስፖፊንግ…
እያንዳንዱ መሳሪያ ጥቃቱ ከተገኘበት ቦታ ምንጩን ለማገድ፣ ለማግለል ወይም ለመሰረዝ የመለኪያ እና የማዋቀሪያ ዕቃዎች ስብስብ ይኖረዋል።
በዚህ መመሪያ ውስጥ አውታረ መረቡን ሊቀንስ ከሚችለው ጊዜ ወይም ከደህንነት ተጋላጭነት ለመጠበቅ የጂሲሲ መሳሪያው የሚጠቀምባቸውን አንዳንድ የመከላከያ ዘዴዎችን እናልፋለን።
መመሪያው የሚከተሉትን ውቅሮች ይሸፍናል:

  • የዶኤስ መከላከያ
  • የ ARP ጥበቃ

የዶኤስ መከላከያ
የጎርፍ መጥቃቱ መከላከያ፣ ስሙ እንደሚያመለክተው፣ የተገናኙ የመጨረሻ ነጥቦችን በሲኤንሲ ጥያቄዎች ኔትወርኩን እንዳያጥለቀልቁ ለማገድ ይጠቅማል፣ ይህ የሚገኘው በኔትወርክ አገልግሎት ወደቦች (ወደብ 443፣ ወደብ 80…) ላይ የሲኤንሲ ፍሎውድ መከላከያን በማከናወን እና ካስተዋለው ነው። በጣም ብዙ ጥያቄዎች ወደ ኢላማው መሣሪያ እየተላኩ እንደሆነ፣ የማመሳሰል መልዕክቶችን ያግዳል፣ ወይም እንደ አወቃቀሩ የአውታረ መረብ አስተዳዳሪ ያሳውቃል።

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (1)

አንዳንድ የመጀመርያ የጥቃት ምልክቶች፡ ወደብ መቃኘት፣ ጂሲሲ ለሁሉም የውስጥ አገልግሎት ወደቦች መሞከሩን የሚጠቁምበት፣ እና ማንኛውም የተለየ ወደብ በአሁኑ ጊዜ ጥቅም ላይ እንደዋለ፣ ለምሳሌ ወደብ 21 ለኤፍቲፒ፣ ወደብ 22 ለኤስኤስኤች መዳረሻ…፣ እነዚህ አይነት ናቸው። መረጃ በተሳሳተ ሰው ከተገኘ በኔትወርኩ ውስጥ ተጋላጭነትን ሊያስከትል ይችላል እና በአንዳንድ ሁኔታዎች አውታረ መረቡን በማጥለቅለቅ እና የአገልግሎት ጥቃትን እንዲጀምር ሊረዳው ይችላል ፣ አደጋዎችን ለመቀነስ ፣ አንድ ተጠቃሚ የወደብ ስካን ሲሞክር እኛን ለማሳወቅ የወደብ ቅኝት ማወቂያ ባህሪ።

የ DoS ጥቃትን መከላከል
የጎርፍ መጥለቅለቅን ለመከላከል በጂሲሲ መሳሪያው ላይ የሚከተሉትን ደረጃዎች መከተል እንችላለን።

  1. በ«ፋየርዎል ሞዱል → የደህንነት መከላከያ → ዶኤስ መከላከያ» ስር የ DoS መከላከያ አማራጩን አንቃ።
  2. እርምጃውን ወደ “አግድ” ያዋቅሩት ፣ ይህ ለተጠቃሚው የ SYN FLOOD ሙከራን ያሳውቃል ፣ እና በተመሳሳይ ጊዜ ተጠቃሚው የ SYN FLOOD ጥቃቶችን እንዳይልክ ያግዱ ፣ እርምጃውን ወደ “ክትትል” ማዋቀር ለተጠቃሚው የሚያሳውቀው ጥቃት መሆኑን ብቻ ነው ። ሙከራ, መረጃው ሊሆን ይችላል viewበጂሲሲ መሳሪያው የደህንነት ምዝግብ ማስታወሻዎች ላይ ed.
  3. የTCP SYN የጎርፍ ፓኬት ገደብ (ፓኬቶች/ሰ) በሴኮንድ ወደ 2000 ፓኬቶች ያዘጋጁ፣ መጠኑ ከዚያ በላይ ከሆነ ስርዓቱ እንደ SYN ጎርፍ ይቆጥረዋል።
    በተመሳሳይ መልኩ የጎርፍ ጥቃት መከላከያን ለሌሎች እንደ UDP፣ ICMP ወይም ለTCP ምስጋናዎች ላሉ ፕሮቶኮሎች የማንቃት እድል ይኖርዎታል።
  4. GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (2)በተጨማሪም፣ የፖርት ስካን ማወቂያ አማራጭን እናነቃለን፣ የተገናኘ አስተናጋጅ የSYN ጎርፍ ጥቃትን ለመጀመር ሲሞክር የጂሲሲ መሳሪያው ያሳውቀናል፣ ይህም የመከላከያ እርምጃዎችን እንድንወስድ ይረዳናል።
  5. የወደብ ቅኝት ፓኬት ገደብ (ፓኬቶች/ዎች) በሰከንድ 50 ፓኬቶች እንደሆኑ ይግለጹ፣ የወደብ ፓኬጆች ጣራ ላይ ከደረሱ፣ የወደብ ቅኝት ማግኘት ወዲያውኑ ይጀምራል። GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (3) ከላይ ያለውን ውቅረት ከተጠቀሙ በኋላ ተጠቃሚው ኔትወርኩን ለማጥለቅለቅ ከሞከረ በኋላ ይታገዳል እና የጂሲሲ መሳሪያው ምንም አይነት የእረፍት ጊዜ አያጋጥመውም።
    ትችላለህ view የደህንነት ምዝግብ ማስታወሻዎች ስለ ጥቃቱ ትክክለኛ ጊዜ እና የእርምጃው አይነት, ክትትል የሚደረግባቸው ወይም የታገዱ መረጃዎችን ያሳያሉGRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (4) GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (5) GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (6)

የ ARP ጥበቃ

Spoofing Defense የተገናኙ ተጠቃሚዎችን ለመከላከል፣የአውታረ መረብ መረጃቸውን ለመቀየር እና ለማሻሻል የሚያገለግል የደህንነት ዘዴ ነው፣በእኛ ሁኔታ፣ማክን የማጭበርበር ጥቃቶችን የመከላከል እርምጃዎችን በመውሰድ ላይ እናተኩራለን።
የማክ ስፓይፊንግ ጥቃት በአውታረ መረቡ ላይ ሌላ መሳሪያ ለማስመሰል በመሳሪያ ላይ ያለውን የአውታረ መረብ በይነገጽ MAC አድራሻ መቀየርን ያካትታል። ይህ እንደ 802.1X ማረጋገጫ ያሉ የአውታረ መረብ መዳረሻ መቆጣጠሪያዎችን ለማለፍ፣ የአጥቂውን መሳሪያ ለማስመሰል ወይም ለሌላ መሳሪያ የታሰበ የአውታረ መረብ ትራፊክ ለመጥለፍ ሊያገለግል ይችላል።

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (7)

የ ARP ስፖፊንግ መከላከል
የጂ.ሲ.ሲ መሳሪያ ተጠቃሚዎቹ እንደዚህ አይነት የ ARP ማጭበርበር ጥቃቶችን ለመከላከል ልዩ ህጎችን በመተግበር መሳሪያውን ዳግም እንዳይገናኝ እና የተቀየረውን የማክ አድራሻን ለማግኘት ይህን ማድረግ የሚቻለው ከዚህ በታች ያሉትን ደረጃዎች በመከተል ነው።

  1. በ«ፋየርዎል ሞዱል → የደህንነት መከላከያ →ኤአርፒ ጥበቃ» ስር የማፈንዳት መከላከያ አማራጩን አንቃ።
  2. እርምጃውን ወደ “አግድ” ያዋቅሩት ፣ ይህ መሣሪያው በተጠቂው መሣሪያ እና በራውተር መካከል ያለውን ትራፊክ እንዳያሸት ያግደዋል ፣ እንዲሁም የ ARP የማጣራት ሙከራ መከሰቱን ለተጠቃሚው ያሳውቃል ፣ ይህ ሊሆን ይችላል ። viewበደህንነት መዝገብ ውስጥ ed.
  3. የሚከተሉትን አማራጮች በማንቃት የኤአርፒ ስፖፊንግ መከላከያን ያንቁ፣ “ኤአርፒ ምላሾችን ወጥነት በሌለው ምንጭ ማክ አድራሻዎች አግድ” እና “የኤአርፒ ምላሾችን በማይጣጣሙ መድረሻ MAC አድራሻዎች አግድ”
  4. በተጨማሪም "VRRP MAC ወደ ARP ሠንጠረዥ ውድቅ አድርግ" ማንኛውንም የመነጨ ምናባዊ MAC አድራሻ በ ARP ሠንጠረዥ ውስጥ ጨምሮ ውድቅ ማድረግ ትችላለህ።

ARP አግድ ወጥነት ከሌላቸው ምንጭ MAC አድራሻዎች ጋር: የጂ.ሲ.ሲ መሳሪያው የአንድ የተወሰነ ፓኬት መድረሻ MAC አድራሻን ያረጋግጣል እና ምላሹ በመሳሪያው ሲደርሰው ምንጩ MAC አድራሻን ያረጋግጣል እና የተዛመደ መሆኑን ያረጋግጣል። አለበለዚያ የጂሲሲ መሳሪያው ፓኬጁን አያስተላልፍም.

ARP ወጥነት ከሌላቸው መድረሻ MAC አድራሻዎች ጋር ምላሾችን አግድ: GCC601X(W) ምላሹ ሲደርስ የምንጭ MAC አድራሻን ያረጋግጣል። መሣሪያው የመድረሻ ማክ አድራሻውን ያረጋግጣል እና እነሱ የሚዛመዱ መሆናቸውን ያረጋግጣል። አለበለዚያ መሣሪያው ፓኬጁን አያስተላልፍም.

VRRP MAC ወደ ARP ሠንጠረዥ ውድቅ አድርግ: Virtual Router Redundancy Protocol (VRRP) ብዙ ራውተሮች ለከፍተኛ ተደራሽነት አንድ ቨርቹዋል አይፒ አድራሻ እንዲያስተዳድሩ ያስችላቸዋል። ይህ መከላከያ ቪአርአርፒ ማክ አድራሻዎች ወደ ARP ሠንጠረዥ ውስጥ እንደማይቀበሉ ያረጋግጣል፣ ይህም ቪአርአርፒን የሚያካትቱ የተወሰኑ ጥቃቶችን መከላከል ይችላል።

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (8) የማይንቀሳቀስ ኤአርፒ ዝርዝር
ከላይ ከተጠቀሱት መሳሪያዎች እና አማራጮች በተጨማሪ ሌላ ጠቃሚ አቀራረብ ማክን ወደ አይፒ አድራሻ ማዘጋጀት ነው, ይህ የሚደረገው ለጂሲሲ ፋየርዎል, በአከባቢዎ አውታረመረብ ውስጥ ያሉ የአይፒ አድራሻዎችን ዝርዝር እና ተዛማጅ የተፈቀደላቸው MAC አድራሻዎችን በመግለጽ ነው. ይህ ማለት አንድ አጥቂ በእርስዎ LAN ውስጥ ከተጨመሩት የአይፒ አድራሻዎች አንዱን ለመምሰል ከሞከረ ነገር ግን የተለየ MAC አድራሻ ካለው እንደ ማጭበርበሪያ ሙከራ ይገለጻል እና ይታገዳል። ይህ የሚገኘው Static በሚባለው ባህሪ ነው። የኤአርፒ ዝርዝር

ከዚህ በታች ያለውን የቀድሞ እንወስዳለንampለተሻለ ግንዛቤ፡-
ለተገናኘ የውስጥ አገልጋይ ከአካባቢያዊ የማይንቀሳቀስ አይፒ አድራሻ 192.168.3.230 ጋር፣ የሚከተለውን እናደርጋለን።

  1. ወደ ፋየርዎል ሞዱል → የደህንነት መከላከያ → ኤአርፒ ጥበቃ → የማይንቀሳቀስ ኤአርፒ ዝርዝር ይሂዱ፣ ከዚያ በፊት የማፈንዳት መከላከያ በፋየርዎል ሞዱል → ደህንነት መከላከያ → ኤአርፒ ጥበቃ → ስፖፊንግ መከላከያ መስራቱን ያረጋግጡ።
  2. ጠቅ ያድርጉGRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (9) አዲስ የካርታ ደንብ ለመጨመር።
  3. የመጨረሻውን ነጥብ አካባቢያዊ አይፒ አድራሻን ይግለጹ, በእኛ ሁኔታ "192.168.3.230" ነው.
  4. የተገናኘውን አሃድ ማክ አድራሻ እራስዎ ለማስገባት ወይም "አውቶማቲክ ማግኛ" ላይ ጠቅ በማድረግ የመሳሪያውን MAC አድራሻ ከተገናኙት መሳሪያዎች ዝርዝር ውስጥ በራስ ሰር ለማውጣት አማራጭ አለዎት። ይህ የማክ አድራሻውን ከአካባቢው አይፒ አድራሻ ጋር ያዘጋጃል።
  5. የበይነገጹን አይነት መግለጽ ባዘጋጀው ሁኔታ ላይ ይወሰናል፡ በእኛ ሁኔታ LANን እንመርጣለን፡
    • LAN: የ LAN በይነገጽን መምረጥ ጥቅም ላይ የሚውለው የውስጥ መሳሪያዎን ከውስጥ የመጥፎ ሙከራዎች ለመጠበቅ ሲፈልጉ ነው, በ LAN ውስጥ ያለውን እያንዳንዱን መሳሪያ ወደ ተጓዳኝ IP አድራሻው በማሳየት, የአይፒ አድራሻው እንዳይኖር በስታቲስቲክስ መቀመጥ እንዳለበት ልብ ሊባል ይገባል. የካርታ ደንቡን በእያንዳንዱ ጊዜ በአዲሱ አይፒ አድራሻ ለማዘመን።
    • WAN: የ WAN በይነገጽ የሚመረጠው የውስጥ አውታረ መረባችንን ለመጠበቅ ስንፈልግ ፋየርዎል የቀረበውን የአይኤስፒ ጌትዌይ የህዝብ አይፒ አድራሻ እና ተዛማጅ ማክ አድራሻን በመግለጽ ሲሆን ይህም ጥቅም ላይ የዋለው የመተላለፊያ መሳሪያ MAC አድራሻ ነው ። በአውታረ መረብዎ ላይ የሚስተናገደው አገልጋይ ካለዎት እና ለበይነመረብ የተጋለጠ ከሆነ እና ከመግቢያው የሚመጣው ትራፊክ ብቻ ከእሱ ጋር መገናኘት የተፈቀደ መሆኑን ማረጋገጥ ይፈልጋሉ።
  6. ከመሳሪያው ጋር የሚዛመደውን መግለጫ ይግለጹ.

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (10)

ውጤቶች
በኤአርፒ ስፖፊንግ መከላከያ ዘዴ በተተገበረ የጂሲሲ መሳሪያው ብዙ የደህንነት ስጋቶችን ለመከላከል ይረዳሃል፣እንደ ሰው መሃል ጥቃት እና የ NAC ማረጋገጫን ለማለፍ MAC አድራሻን መቀየር።
የደህንነት ምዝግብ ማስታወሻዎቹ ስለታገደው የኤአርፒ ማጭበርበር ሙከራ መረጃ ያሳያሉ፣የጥቃቱን አይነት ወደ DoS እና Spoofing ማቀናበሩን ያረጋግጡ። view ከታች እንደሚታየው መዝገቦች:

GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (11)GRANDSTREAM-GCC6000-ተከታታይ-ደህንነት-መከላከያ- (12)

የሚደገፉ መሳሪያዎች

 የመሳሪያ ሞዴል  Firmware ያስፈልጋል
 GCC6010 ዋ  1.0.1.7+
 GCC6010  1.0.1.7+
 GCC6011  1.0.1.7+

ድጋፍ ይፈልጋሉ?
የሚፈልጉትን መልስ ማግኘት አልቻሉም? አይጨነቁ እኛ ለመርዳት እዚህ ነን!

ሰነዶች / መርጃዎች

GRANDSTREAM GCC6000 ተከታታይ የደህንነት መከላከያ መመሪያ [pdf] የተጠቃሚ መመሪያ
GCC6000፣ GCC6000 ተከታታይ የደህንነት መከላከያ መመሪያ፣ GCC6000 ተከታታይ፣ የደህንነት መከላከያ መመሪያ፣ የመከላከያ መመሪያ፣ መመሪያ

ዋቢዎች

አስተያየት ይስጡ

የኢሜል አድራሻዎ አይታተምም። አስፈላጊ መስኮች ምልክት ተደርጎባቸዋል *