March 05, 2024

Language:

សុវត្ថិភាពឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ (ផ្នែកទី១)

១. ព័ត៌មានទូទៅ

ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញគឺជាធាតុផ្សំនៃបណ្តាញដែលធ្វើការបញ្ជូនទំនាក់ទំនងរវាងទិន្នន័យ កម្មវិធី សេវាកម្ម និងពហុមេឌៀកំសាន្ត។ ឧបករណ៍ទាំងនេះរួមមាន រ៉ោតទ័រ ជញ្ជាំងភ្លើង switches ម៉ាស៊ីនមេ load-balancers ប្រព័ន្ធរកឃើញការឈ្លានពាន ប្រព័ន្ធឈ្មោះដែន និងបណ្តាញផ្ទុកទិន្នន័យ។

ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញគឺជាគោលដៅសម្រាប់ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ពីព្រោះចរាចរណ៍ទិន្នន័យរបស់ស្ថាប័ន និងអតិថិជនភាគច្រើន ឬទាំងអស់ត្រូវតែឆ្លងកាត់ឧបករណ៍នេះ។

  • ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចមានវត្តមាននៅច្រកផ្លូវរ៉ោតទ័ររបស់ស្ថាប័ន និងអាចធ្វើការត្រួតពិនិត្យ កែប្រែ និងធ្វើការបដិសេធចរាចរណ៍ទៅនិងមក ពីស្ថាប័នរបស់អ្នក
  • ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចមានវត្តមាននៅលើផ្លូវផ្ទៃក្នុងរបស់ស្ថាប័ន និងឧបករណ៍ switches ហើយអាចត្រួតពិនិត្យ ផ្លាស់ប្តូរ ឬកែប្រែ និងបដិសេធចរាចរណ៍ទៅកាន់ម៉ាស៊ីនសំខាន់ៗនៅក្នុងបណ្តាញ និងប្រើប្រាស់បណ្តាញទំនាក់ទំនងហេដ្ឋារចនាសម្ព័ន្ធ ដើម្បីធ្វើការវាយប្រហារនៅពេលក្រោយទៅកាន់ម៉ាស៊ីនមេផ្សេងទៀត

ស្ថាប័ន ឬអង្គភាពណាដែលមិនបានធ្វើកូដនីយកម្មទិន្នន័យទេ គឺផ្តល់ភាពងាយស្រួលសម្រាប់ ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ក្នុងការគ្រប់គ្រងម៉ាស៊ីន សេវាកម្ម និងអាចធ្វើការប្រមូលព័ត៌មានសម្ងាត់បានដោយជោគជ័យ។ សម្រាប់អ្នកគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធផ្លូវនៃបណ្តាញ និងគ្រប់គ្រងទិន្នន័យគួរតែធ្វើកូដនីយកម្មទិន្នន័យ។

.តើការគំរាមកំហែងអ្វីខ្លះដែលបានផ្សារភ្ជាប់ជាមួយនឹងឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ?

ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ ជាញឹកញាប់គឺជាគោលដៅងាយស្រួលសម្រាប់អ្នកវាយប្រហារ។ ​នៅពេលអ្នកធ្វើការដំឡើងឧបករណ៍បណ្តាញរួច ឧបករណ៍បណ្តាញទាំងនោះនឹងត្រូវទុកចោលហើយក៏មិនបានយកចិត្តទុកដាក់ក្នុងការធ្វើលំហែទាំសុវត្ថិភាព ដូចជាការដូរលេខសម្ងាត់ ឬក៏ធ្វើការអាប់ដេតសុវត្ថិភាពដូចគ្នានឹងកុំព្យូទ័រលើតុ និងម៉ាស៊ីនមេ។ កត្តាខាងក្រោមក៏អាចរួមចំណែកដល់ភាពងាយរងគ្រោះនៃឧបករណ៍បណ្តាញ៖

  • ឧបករណ៍បណ្តាញមួយចំនួន ជាពិសេសការិយាល័យតូច/ការិយាល័យនៅផ្ទះ និងរ៉ោតទ័រលំនៅដ្ឋានមិនបានដំណើរការកម្មវិធីកំចាត់មេរោគ ដើម្បីថែរក្សាសុវត្ថភាពឧបករណ៍ និងដំឡើងមុខងារសុវត្ថិភាពនៅលើឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។
  • ក្រុមហ៊ុនផលិតនិងចែកចាយឧបករណ៍បណ្តាញកេងប្រវ័ញ្ចមុខងារសុវត្ថិភាព ប្រតិបត្តិការ និងការថែទាំ។
  • ម្ចាស់ និងប្រតិបត្តិករនៃឧបករណ៍បណ្តាញជារឿយៗមិនបានធ្វើការផ្លាស់ប្តូរការកំណត់លំនាំដើមរបស់អ្នកលក់និងមិនបានធ្វើការអាប់ដេតមុខងារសុវត្ថិភាពជាប្រចាំ។
  • អ្នកផ្តល់សេវាអ៊ីនធឺណិតមិនបានធ្វើការផ្លាស់ប្តូរឧបករណ៍បណ្តាញរបស់អតិថិជន នៅពេលដែលឧបករណ៍នេះមិនត្រូវបានគាំទ្រដោយក្រុមហ៊ុនផលិត ឬអ្នកលក់ទៀតទេ។
  • ម្ចាស់ និងប្រតិបត្តិករតែងតែមើលរំលងឧបករណ៍បណ្តាញ នៅពេលដែលពួកគេស៊ើបអង្កេត ស្វែងរកការ លួចចូល​​​ និងស្ដារម៉ាស៊ីនដែលប្រើជាទូទៅបន្ទាប់ពីការលួចចូលតាមប្រព័ន្ធអ៊ីនធឺណិត។

៣.តើយើងអាចកែលម្អសុវត្ថិភាពនៃឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញយ៉ាងដូចម្តេច?

អ្នកគ្រប់គ្រងបណ្តាញគួរតែអនុវត្តដូចខាងក្រោម ដើម្បីទទួលបាននូវសុវត្ថិភាពហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់ពួកគេកាន់តែប្រសើរឡើង៖

  • បែងចែកបណ្តាញ និងមុខងារដាច់ដោយឡែក។
  • ធ្វើការកំណត់ទំនាក់ទំនងដែលមិនចាំបាច់។
  • ពង្រឹងសុវត្ថិភាពឧបករណ៍បណ្តាញ។
  • ពង្រឹងការចូលប្រើប្រាស់ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធ។
  • អនុវត្តការគ្រប់គ្រងបណ្តាញក្រៅបណ្តាញ (OoB) ។
  • ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃផ្នែករឹង និងសូហ្វវែរ។

៤.ការបែងចែក ការចែកបណ្តាញ និងមុខងារ

អ្នកគ្រប់គ្រងគួរតែពិចារណាលើប្លង់ហេដ្ឋារចនាសម្ព័ន្ធទាំងមូល រួមទាំងការបែងចែក និងការចែកបណ្តាញ។

ការបែងចែកបណ្តាញត្រឹមត្រូវគឺជាយន្តការសុវត្ថិភាពដ៏មានប្រសិទ្ធភាពមួយដើម្បីការពារពីការលួចចូល ការកេងប្រវ័ញ្ច ឬក៏ការផ្លាស់ទីបណ្តាញខាងក្នុង។ នៅលើបណ្តាញដែលបែងចែកមិនត្រឹមត្រូវ អ្នកឈ្លានពានអាចពង្រីកឥទ្ធិពលរបស់ពួកគេដើម្បីគ្រប់គ្រងឧបករណ៍សំខាន់ៗ ឬទទួលបានសិទ្ធិចូលប្រើទិន្នន័យរសើប។ ការបែងចែកបណ្តាញដាច់ដោយឡែកពីគ្នាដោយផ្អែកលើតួនាទី និងមុខងារ។ បណ្តាញដែលបានបំបែកដោយសុវត្ថិភាពអាចកាត់បន្ថយផលប៉ះពាល់ពីការឈ្លានពាន ការឆ្លងមេរោគ ឬឧបទ្ទវហេតុអាក្រក់ណាមួយ។ ក្នុងករណីដែលបណ្តាញណាមួយមានបញ្ហាញគឺងាយស្រួលក្នុងការកំណត់ទីតាំងបណ្តាញ។

៥.ការបំបែកព័ត៌មានរសើប

ឧបករណ៍បណ្តាញប្រពៃណី ដូចជារ៉ោតទ័រ អាចបំបែកផ្នែកបណ្តាញមូលដ្ឋាន (LAN) ដាច់ដោយឡែក។ ស្ថាប័ន ឬអង្គភាព អាចដាក់រ៉ោតទ័ររវាងបណ្តាញដើម្បីបង្កើតព្រំដែន បង្កើនចំនួនដែនផ្សាយ និងច្រោះនូវចរាចរណ៍ផ្សាយរបស់អ្នកប្រើប្រាស់ប្រកបដោយប្រសិទ្ធភាព។ ស្ថាប័ន ឬអង្គភាពអាចប្រើព្រំដែនទាំងនេះដើម្បីទប់ស្កាត់ការរំលោភលើសុវត្ថិភាព ដោយដាក់កម្រិតចរាចរណ៍ទិនិ្នន័យទៅកាន់ផ្នែកដាច់ដោយឡែក ហើយថែមទាំងអាចបិទផ្នែកនៃបណ្តាញក្នុងអំឡុងពេលមានការឈ្លានពានកើតមានឡើង ដោយដាក់កម្រិតការចូលប្រើប្រាស់។

អនុសាសន៍ណែនាំ

  • អនុវត្តគោលការណ៍សុវត្ថិភាពផ្តល់សិទ្ធិតិចបំផុតសម្រាប់អ្នកប្រាស់ និងចាំបាច់ត្រូវដឹងអំពីហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។
  • បម្រួមព័ត៌មានរសើប និងតម្រូវការសុវត្ថិភាពចូលទៅក្នុងផ្នែកនៃបណ្តាញ។
  • អនុវត្តការណែនាំសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពចំពោះផ្នែកបណ្តាញ និងស្រទាប់បណ្តាញទាំងអស់។

៦.ការបំបែកនិម្មិតនៃព័ត៌មានរសើប

នៅពេលដែលបច្ចេកវិទ្យាស់ប្តូរ យុទ្ធសាស្រ្តថ្មីត្រូវបានបង្កើតឡើងដើម្បីកែលម្អប្រសិទ្ធភាពនៃបច្ចេកវិទ្យាព័ត៌មាន និងការគ្រប់គ្រងសុវត្ថិភាពបណ្តាញ។ ការបំបែកនិម្មិតគឺជាការផ្តាច់ខ្លួនឡូជីខលនៃបណ្តាញនៅលើបណ្តាញរូបវន្តដូចគ្នា។

ការបែងចែកនិម្មិតប្រើប្រាស់គោលការណ៍រចនាដូចគ្នានឹងការបែងចែកផ្នែករូបវន្តដែរ ប៉ុន្តែមិនត្រូវការផ្នែករឹងបន្ថែមទេ។ បច្ចេកវិទ្យាដែលមានស្រាប់អាចត្រូវបានប្រើដើម្បីការពារពីអ្នកឈ្លានពាន ពីការរំលោភលើផ្នែកបណ្តាញខាងក្នុងផ្សេងទៀត។

អនុសាសន៍ណែនាំ

  • ប្រើបណ្តាញនិម្មិតឯកជន (VLANs) ដើម្បីញែកអ្នកប្រើប្រាស់ចេញពីដែនផ្សាយដែលនៅសល់។
  • ប្រើបច្ចេកវិទ្យាការបញ្ជូនបន្តនិម្មិត (VRF) ដើម្បីបែងចែកចរាចរណ៍បណ្តាញនៅលើតារាងនាំផ្លូវជាច្រើនក្នុងពេលដំណាលគ្នានៅលើរ៉ោតទ័រតែមួយ។
  • ប្រើបណ្តាញឯកជននិម្មិត (VPNs) ដើម្បីពង្រីកម៉ាស៊ីន/បណ្តាញដោយសុវត្ថិភាពដោយដំណើរការ តាមរយៈបណ្តាញសាធារណៈ ឬឯកជន។

៧.ការកំណត់ទំនាក់ទំនងដែលមិនចាំបាច់

ការអនុញ្ញាតឱ្យមានទំនាក់ទំនងរវាង peer-to-peer  រួមមាន workstation-to-workstation ដែលអាចបង្កើតជាចំណុចងាយរងគ្រោះធ្ងន់ធ្ងរ និងអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ចូលទៅក្នុងបណ្តាញបានយ៉ាងងាយស្រួលក្នុងការគ្រប់គ្រងបណ្តាញ និងអាចទៅគ្រប់គ្រងប្រព័ន្ធផ្សេងទៀតបាន។  ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ​អាចបង្កើតទំនាក់ទំនង​នៅក្នុងបណ្តាញហេដ្ឋារចនាសម្ព័ន្ធ ដោយធ្វើការបង្កប់នៅមេរោគ backdoors ដើម្បីធ្វើការគ្រប់គ្រងបណ្តាញ និងពង្រីកការចម្លងមេរោគទៅកាន់បណ្តាញផ្សេងទៀត។

អនុសាសន៍ណែនាំ

  • ដាក់កម្រិតទំនាក់ទំនងដោយប្រើច្បាប់ជញ្ជាំងភ្លើងដែលមានមូលដ្ឋានលើម៉ាស៊ីនដើម្បីបដិសេធលំហូរនៃកញ្ចប់ព័ត៌មានពីម៉ាស៊ីនផ្សេងទៀតនៅក្នុងបណ្តាញ។ច្បាប់ជញ្ជាំងភ្លើងអាចត្រូវបានបង្កើតឡើងដើម្បីត្រងនៅលើឧបករណ៍ម៉ាស៊ីន អ្នកប្រើប្រាស់ កម្មវិធី ឬអាសយដ្ឋានពិធីការអ៊ីនធឺណិត (IP) ដើម្បីកំណត់ការចូលប្រើប្រាស់ពីសេវាកម្ម និងប្រព័ន្ធ។
  • អនុវត្តបញ្ជីត្រួតពិនិត្យការចូលប្រើ VLAN (VACL) ដែលជាតម្រងដែលគ្រប់គ្រងការចូលប្រើ និងពី VLAN ។ តម្រង VACL គួរតែត្រូវបានបង្កើតដើម្បីបដិសេធកញ្ចប់ព័ត៌មានដែលមានសមត្ថភាពហូរទៅកាន់ VLANs ផ្សេងទៀត។
  • បែងចែកបណ្តាញដោយឡូជីខលដោយប្រើការបំបែករូបវន្ត ឬនិម្មិត ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញផ្តាច់ឧបករណ៍សំខាន់ៗទៅលើផ្នែកបណ្តាញ។

៨.ឯកសារពាក់ព័ន្ធ

  • –  https://www.cisa.gov/news-events/news/securing-network-infrastructure-devices
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.