GRANDSTREAM GCC6000 श्रृंखला सुरक्षा रक्षा
निर्दिष्टीकरणहरू
- उत्पादन: GCC6000 श्रृंखला सुरक्षा रक्षा गाइड
- निर्माता: Grandstream Networks, Inc।
- सुविधाहरू: DoS रक्षा, ARP संरक्षण
उत्पादन उपयोग निर्देशन
DoS रक्षा
DoS डिफेन्स सुविधाले SYNC अनुरोधहरू रोकेर नेटवर्कलाई फ्लड आक्रमणहरूबाट जोगाउन मद्दत गर्छ। DoS आक्रमणहरू रोक्न यी चरणहरू पालना गर्नुहोस्:
- port443 र पोर्ट 80 जस्ता नेटवर्क सेवा पोर्टहरूमा फ्लड आक्रमण रक्षा सक्षम गर्नुहोस्।
- UDP, ICMP, वा TCP स्वीकृति जस्ता अन्य प्रोटोकलहरूको लागि बाढी आक्रमण रक्षा कन्फिगर गर्नुहोस्।
- होस्टले SYN बाढी आक्रमणको प्रयास गर्दा सतर्क हुन पोर्ट स्क्यान पत्ता लगाउन सक्षम गर्नुहोस्।
ARP संरक्षण
ARP संरक्षण सुविधाले ARP स्पूफिङ आक्रमणहरू रोक्न मद्दत गर्छ। एआरपी संरक्षण कन्फिगर गर्ने तरिका यहाँ छ:
- फायरवाल मोड्युल सुरक्षा रक्षा एआरपी संरक्षण अन्तर्गत स्पूफिङ रक्षा सक्षम गर्नुहोस्।
- ARP स्पूफिङ प्रयासहरू रोक्नको लागि ब्लकमा कार्य सेट गर्नुहोस्।
- ARP स्पूफिङ डिफेन्स सक्षम गर्नुहोस् र असंगत MAC ठेगानाहरूसँग ARP जवाफहरू रोक्न विकल्पहरू कन्फिगर गर्नुहोस्।
स्थिर ARP सूची
थप सुरक्षाको लागि स्थिर ARP सूची सिर्जना गर्न:
- फायरवाल मोड्युल सुरक्षा रक्षा एआरपी संरक्षण अन्तर्गत स्पूफिङ रक्षा सक्षम गरिएको सुनिश्चित गर्नुहोस्।
- स्थानीय IP ठेगाना र सम्बन्धित MAC ठेगानासँग नयाँ म्यापिङ नियम थप्नुहोस्।
- तपाईंको सेटअप परिदृश्यमा आधारित इन्टरफेस प्रकार परिभाषित गर्नुहोस्।
बारम्बार सोधिने प्रश्नहरू (FAQ)
प्रश्न: म कसरी सक्छु view सुरक्षा प्रतिरक्षाहरू कन्फिगर गरेपछि सुरक्षा लगहरू?
A: तपाईं सक्नुहुन्छ view GCC यन्त्र इन्टरफेसको सुरक्षा लग खण्डमा गरिएका आक्रमण र कारबाहीहरू बारे जानकारी देखाउने सुरक्षा लगहरू।
प्रश्न: यदि मलाई ARP स्पूफिङ आक्रमणको शंका छ भने मैले के गर्नुपर्छ?
A: यदि तपाईंलाई ARP स्पूफिङ आक्रमणको शंका छ भने, स्पूफिङ डिफेन्स सक्षम गर्नुहोस् र असंगत ARP जवाफहरू रोक्न ARP स्पूफिङ डिफेन्स विकल्पहरू कन्फिगर गर्नुहोस्।
परिचय
सेक्युरिटी डिफेन्स भनेको सामान्य साइबर हमलाहरू, जस्तै DoS आक्रमणहरू, म्यान-इन-द-मिडल आक्रमण, ARP स्पूफिङबाट सञ्जाललाई जोगाउनको लागि GCC अभिसरण यन्त्रमा लागू गरिएको संयन्त्र हो।
प्रत्येक उपकरणमा मापदण्डहरू र कन्फिगरेसन वस्तुहरूको सेट हुनेछ या त ब्लक गर्न, अलग गर्न वा स्रोत अन्त्य बिन्दु मेटाउन जहाँबाट आक्रमण पत्ता लगाइएको छ।
यस गाइडमा, हामी नेटवर्कलाई सम्भावित डाउन टाइम वा सुरक्षा कमजोरीहरूबाट जोगाउन GCC यन्त्रले प्रयोग गर्ने केही रक्षा विधिहरू मार्फत जानेछौं।
गाइडले निम्न कन्फिगरेसनहरू कभर गर्नेछ:
- DoS रक्षा
- ARP संरक्षण
DoS रक्षा
फ्लड अट्याक डिफेन्स, नामले जस्तै, जडान गरिएको अन्त बिन्दुहरूलाई SYNC अनुरोधहरूको साथ नेटवर्कमा बाढी आउनबाट रोक्न प्रयोग गरिन्छ, यो नेटवर्क सेवा पोर्टहरू (पोर्ट 443, पोर्ट 80...) मा सिंक फ्लड डिफेन्स प्रदर्शन गरेर प्राप्त हुन्छ, र यदि यसले नोटिस गर्छ भने। लक्षित यन्त्रमा धेरै अनुरोधहरू पठाइँदैछ, यसले सिंक सन्देशहरू ब्लक गर्नेछ, वा नेटवर्क प्रशासकलाई सूचित गर्नेछ, यो तरिकामा निर्भर गर्दछ। कन्फिगर गरिएको।
केही प्रारम्भिक आक्रमण संकेतहरू हुन्: पोर्ट स्क्यानिङ, जहाँ GCC ले सबै आन्तरिक सेवा पोर्टहरूका लागि स्क्यान प्रयास गरिएको संकेत गर्दछ, र कुनै विशेष पोर्ट हाल प्रयोग गरिएको छ कि छैन भनेर देख्छ, जस्तै FTP का लागि पोर्ट 21, SSH पहुँचको लागि पोर्ट 22..., यी प्रकारका यदि गलत व्यक्तिले प्राप्त गरेको खण्डमा सूचना नेटवर्कमा जोखिम उत्पन्न हुन सक्छ, र केहि अवस्थामा उसलाई सञ्जालमा बाढी आउन र सेवा अस्वीकार गर्नको लागि आक्रमण गर्न मद्दत गर्न सक्छ। जोखिमहरू कम गर्नुहोस्, हामी प्रयोगकर्ताले पोर्ट स्क्यान गर्ने प्रयास गर्दा हामीलाई थाहा दिनको लागि पोर्ट स्क्यान पत्ता लगाउने सुविधा सक्षम गर्न सक्छौं।
DoS आक्रमण रोक्न
बाढीको आक्रमण रोक्नको लागि, हामी GCC उपकरणमा निम्न चरणहरू पालना गर्न सक्छौं:
- "फायरवाल मोड्युल → सुरक्षा रक्षा → DoS रक्षा" अन्तर्गत, DoS रक्षा विकल्प सक्षम गर्नुहोस्।
- कार्यलाई "ब्लक" मा सेट गर्नुहोस्, यसले प्रयोगकर्तालाई SYN फ्लडको प्रयास गरेको बारे सूचित गर्नेछ, र एकै समयमा, प्रयोगकर्तालाई SYN फ्लड आक्रमणहरू पठाउनबाट रोक्नुहोस्, "मोनिटर" मा कार्य सेट गर्नाले प्रयोगकर्तालाई मात्र आक्रमण भएको जानकारी दिनेछ। प्रयास गरे, जानकारी हुन सक्छ viewGCC यन्त्रको सुरक्षा लगहरूमा ed।
- TCP SYN फ्लड प्याकेट थ्रेसहोल्ड (प्याकेट/हरू) लाई 2000 प्याकेट प्रति सेकेन्डमा सेट गर्नुहोस्, यदि रकम त्यो भन्दा बढि भयो भने, प्रणालीले यसलाई SYN फ्लडको रूपमा विचार गर्नेछ।
त्यसै गरी, तपाईंसँग अन्य प्रोटोकलहरू जस्तै UDP, ICMP, वा TCP स्वीकृतिहरूका लागि फ्लड आक्रमण प्रतिरक्षा सक्षम गर्ने सम्भावना छ। 
थप रूपमा, हामी पोर्ट स्क्यान पत्ता लगाउने विकल्प सक्षम गर्नेछौं, जडान गरिएको होस्टले SYN बाढी आक्रमण सुरु गर्न प्रयास गर्दा GCC उपकरणले हामीलाई सूचित गर्नेछ, जसले हामीलाई रोकथाम उपायहरू लिन मद्दत गर्न सक्छ।- पोर्ट स्क्यान प्याकेट थ्रेसहोल्ड (प्याकेट/हरू) लाई 50 प्याकेट प्रति सेकेन्डमा परिभाषित गर्नुहोस्, यदि पोर्ट प्याकेटहरू थ्रेसहोल्डमा पुग्छन् भने, पोर्ट स्क्यानिङ पत्ता लगाउन तुरुन्तै सुरु हुनेछ।
माथिको कन्फिगरेसन लागू गरेपछि, प्रयोगकर्ताले नेटवर्कमा बाढी ल्याउने प्रयास गरेपछि, यो अवरुद्ध हुनेछ, र GCC उपकरणले कुनै पनि डाउनटाइम अनुभव गर्दैन।
तपाईं सक्नुहुन्छ view सुरक्षा लगहरू आक्रमणको सही समय र कारबाहीको प्रकार, अनुगमन मात्र, वा अवरुद्ध बारे जानकारी देखाउने
ARP संरक्षण
स्पूफिङ डिफेन्स एक सुरक्षा संयन्त्र हो जुन जडान भएका प्रयोगकर्ताहरूलाई रोक्न, तिनीहरूको नेटवर्क जानकारी परिवर्तन गर्न र परिमार्जन गर्न प्रयोग गरिन्छ, हाम्रो अवस्थामा, हामी MAC स्पूफिङ आक्रमणहरू विरुद्ध रोकथाम उपायहरू लिनमा ध्यान केन्द्रित गर्नेछौं।
MAC स्पुफिङ आक्रमणले नेटवर्कमा अर्को यन्त्रको नक्कल गर्न यन्त्रमा नेटवर्क इन्टरफेसको MAC ठेगाना परिवर्तन गर्दछ। यो नेटवर्क पहुँच नियन्त्रणहरू बाइपास गर्न प्रयोग गर्न सकिन्छ, जस्तै 802.1X प्रमाणीकरण, आक्रमणकारीको यन्त्र भेषमा, वा अर्को यन्त्रको लागि लक्षित नेटवर्क ट्राफिक अवरोध गर्न।
ARP स्पूफिङ रोक्दै
GCC यन्त्रले आफ्ना प्रयोगकर्ताहरूलाई त्यस्ता ARP स्पूफिङ आक्रमणहरू रोक्न अनुमति दिन्छ, विशेष नियमहरू लागू गरेर यन्त्रलाई पुन: जडान गर्न र परिमार्जित MAC ठेगाना प्राप्त गर्नबाट रोक्न, यो निम्न चरणहरू पालना गरेर गर्न सकिन्छ:
- "फायरवाल मोड्युल → सेक्युरिटी डिफेन्स → एआरपी प्रोटेक्शन" अन्तर्गत, स्पूफिङ डिफेन्स विकल्प सक्षम गर्नुहोस्।
- कार्यलाई "ब्लक" मा सेट गर्नुहोस्, यसले यन्त्रलाई पीडित उपकरण र राउटर बीचको ट्राफिक सुन्नबाट रोक्नेछ, यसले प्रयोगकर्तालाई ARP स्पुफिङ प्रयास भएको कुरा पनि सूचित गर्नेछ, यो हुन सक्छ। viewसुरक्षा लग मा ed।
- ARP स्पूफिङ डिफेन्स सक्षम पार्नुहोस्, निम्न विकल्पहरू सक्षम पारेर, "असंगत स्रोत MAC ठेगानाहरूसँग ARP जवाफहरू रोक्नुहोस्" र "असंगत गन्तव्य MAC ठेगानाहरूसँग ARP जवाफहरू रोक्नुहोस्"।
- थप रूपमा तपाईंले ARP तालिकामा कुनै पनि उत्पन्न भर्चुअल MAC ठेगाना सहित अस्वीकार गर्न "ARP तालिकामा VRRP MAC अस्वीकार गर्नुहोस्" सक्षम गर्न सक्नुहुन्छ।
असंगत स्रोत MAC ठेगानाहरूसँग ARP जवाफहरू रोक्नुहोस्: GCC उपकरणले विशिष्ट प्याकेटको गन्तव्य MAC ठेगाना प्रमाणित गर्नेछ, र जब यन्त्रद्वारा प्रतिक्रिया प्राप्त हुन्छ, यसले स्रोत MAC ठेगाना प्रमाणित गर्नेछ र तिनीहरू मेल खान्छ भनेर सुनिश्चित गर्नेछ। अन्यथा, GCC उपकरणले प्याकेट फर्वार्ड गर्दैन।
असंगत गन्तव्य MAC ठेगानाहरूसँग ARP जवाफहरू रोक्नुहोस्: प्रतिक्रिया प्राप्त हुँदा GCC601X(W) ले स्रोत MAC ठेगाना प्रमाणित गर्नेछ। उपकरणले गन्तव्य MAC ठेगाना प्रमाणित गर्नेछ र तिनीहरू मेल खान्छ भनेर सुनिश्चित गर्नेछ। अन्यथा, उपकरणले प्याकेट फर्वार्ड गर्दैन।
VRRP MAC लाई ARP तालिकामा अस्वीकार गर्नुहोस्: भर्चुअल राउटर रिडन्डन्सी प्रोटोकल (VRRP) ले धेरै राउटरहरूलाई उच्च उपलब्धताको लागि एकल भर्चुअल IP ठेगाना व्यवस्थापन गर्न अनुमति दिन्छ। यो रक्षाले सुनिश्चित गर्दछ कि VRRP MAC ठेगानाहरू ARP तालिकामा स्वीकार गरिएको छैन, जसले VRRP समावेश गर्ने निश्चित प्रकारका आक्रमणहरूलाई रोक्न सक्छ।
स्थिर ARP सूची
माथि उल्लेखित उपकरणहरू र विकल्पहरू प्रयोग गर्नुको अतिरिक्त, अर्को उपयोगी दृष्टिकोण MAC लाई IP ठेगानामा नक्सा गर्ने हो, यो GCC फायरवाल, तपाईंको स्थानीय नेटवर्कमा IP ठेगानाहरूको सूची, र तिनीहरूसँग सम्बन्धित MAC ठेगानाहरू, यसको मतलब यो हो कि यदि कुनै आक्रमणकारीले तपाईंको LAN भित्र थपिएको IP ठेगानाहरू मध्ये एउटाको नक्कल गर्ने प्रयास गर्छ तर फरक MAC ठेगानाको साथ, यो स्पूफिङ प्रयासको रूपमा पत्ता लगाइनेछ र ब्लक गरिनेछ, यो Static ARP List नामक सुविधा मार्फत प्राप्त हुन्छ।
हामी तलको पूर्व लिनेछौंampराम्रो बुझ्नको लागि:
स्थानीय स्थिर IP ठेगाना 192.168.3.230 सँग जडान गरिएको आन्तरिक सर्भरको लागि, हामी निम्न गर्नेछौं:
- फायरवाल मोड्युल → सेक्युरिटी डिफेन्स → एआरपी प्रोटेक्शन → स्ट्याटिक एआरपी लिस्टमा जानुहोस्, त्यो भन्दा पहिले फायरवाल मोड्युल → सेक्युरिटी डिफेन्स → एआरपी प्रोटेक्शन → स्पूफिङ डिफेन्स अन्तर्गत स्पूफिङ डिफेन्स सक्षम गरिएको छ भनी सुनिश्चित गर्नुहोस्।
- क्लिक गर्नुहोस्
नयाँ म्यापिङ नियम थप्न। - अन्तिम बिन्दुको स्थानीय IP ठेगाना परिभाषित गर्नुहोस्, हाम्रो अवस्थामा यो "192.168.3.230" हो।
- तपाइँसँग जडान गरिएको इकाईको MAC ठेगाना म्यानुअल रूपमा प्रविष्ट गर्ने विकल्प छ, वा जडान गरिएका उपकरणहरूको सूचीबाट स्वचालित रूपमा यन्त्रको MAC ठेगाना पुन: प्राप्त गर्न सक्षम हुन "स्वचालित अधिग्रहण" मा क्लिक गर्नुहोस्। यसले स्थानीय IP ठेगानासँग MAC ठेगाना नक्सा गर्नेछ
- इन्टरफेस प्रकार परिभाषित तपाईंको सेटअप परिदृश्यमा निर्भर गर्दछ, हाम्रो अवस्थामा हामी LAN चयन गर्नेछौं:
- LAN: LAN इन्टरफेस चयन गर्दा प्रयोग गरिन्छ जब तपाईं आफ्नो आन्तरिक यन्त्रहरूलाई आन्तरिक स्पूफिङ प्रयासहरू विरुद्ध सुरक्षित गर्न चाहनुहुन्छ, LAN मा प्रत्येक यन्त्रलाई यसको सम्बन्धित IP ठेगानामा म्याप गरेर, यो ध्यान दिनु महत्त्वपूर्ण छ कि IP ठेगाना स्थिर रूपमा सेट हुनुपर्छ। नयाँ IP ठेगानाको साथ प्रत्येक पटक म्यापिङ नियम अद्यावधिक गर्न।
- WAN: WAN इन्टरफेस चयन गरिनेछ जब हामी फायरवालमा प्रदान गरिएको ISP गेटवेको सार्वजनिक IP ठेगाना, र यसको सम्बन्धित MAC ठेगाना, जुन प्रयोग गरिएको गेटवे उपकरणको MAC ठेगाना हो, परिभाषित गरेर हाम्रो आन्तरिक नेटवर्कलाई सुरक्षित गर्न चाहन्छौं। यदि तपाइँसँग तपाइँको नेटवर्कमा सर्भर होस्ट गरिएको छ र त्यो इन्टरनेटको सम्पर्कमा छ भने उपयोगी छ, र तपाइँ सुनिश्चित गर्न चाहानुहुन्छ कि गेटवेबाट आउने ट्राफिक मात्र अनुमति छ। त्यससँग सञ्चार गर्नुहोस्।
- यन्त्रसँग मेल खाने विवरण परिभाषित गर्नुहोस्।
परिणामहरू
ARP स्पुफिङ डिफेन्स मेकानिजम लागू भएपछि, GCC यन्त्रले तपाईंलाई धेरै सुरक्षा खतराहरू रोक्न मद्दत गर्न सक्छ, जस्तै म्यान-इन द मिडल आक्रमण, र NAC प्रमाणीकरणलाई बाइपास गर्न MAC ठेगाना परिवर्तन गर्ने।
सुरक्षा लगहरूले अवरुद्ध एआरपी स्पूफिङ प्रयासको बारेमा जानकारी प्रदर्शन गर्नेछ, आक्रमणको प्रकार DoS र स्पूफिङमा सेट गर्न निश्चित गर्नुहोस्। view लगहरू, तल देखाइएको रूपमा:
समर्थित यन्त्रहरू
| उपकरण मोडेल | फर्मवेयर आवश्यक छ |
| GCC6010W | 1.0.1.7+ |
| GCC6010 | 1.0.1.7+ |
| GCC6011 | 1.0.1.7+ |
समर्थन चाहिन्छ?
तपाईंले खोजिरहनुभएको जवाफ फेला पार्न सक्नुहुन्न? चिन्ता नगर्नुहोस् हामी मद्दत गर्न यहाँ छौं!
कागजातहरू / स्रोतहरू
 |
GRANDSTREAM GCC6000 श्रृंखला सुरक्षा रक्षा गाइड [pdf] प्रयोगकर्ता गाइड GCC6000, GCC6000 श्रृंखला सुरक्षा रक्षा गाइड, GCC6000 श्रृंखला, सुरक्षा रक्षा गाइड, रक्षा गाइड, गाइड |