អំពីទំនាក់ទំនង និងបច្ចេកវិទ្យាទំនើប។ បញ្ហាសុវត្ថិភាពព័ត៌មាននៅក្នុង VoIP ។ ដំណោះស្រាយដែលមានស្រាប់ចំពោះបញ្ហា

ទូរស័ព្ទ IP ត្រូវបានប្រើប្រាស់កាន់តែខ្លាំងឡើងនៅក្នុងក្រុមហ៊ុន។ វាបង្កើនប្រសិទ្ធភាពនៃការធ្វើអាជីវកម្ម និងអនុញ្ញាតឱ្យអ្នកអនុវត្តប្រតិបត្តិការដែលមិនអាចទៅរួចពីមុនជាច្រើន (ឧទាហរណ៍ ការរួមបញ្ចូលជាមួយ CRM និងកម្មវិធីអាជីវកម្មផ្សេងទៀត កាត់បន្ថយការចំណាយលើការកសាង និងប្រតិបត្តិការហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ បង្កើតមជ្ឈមណ្ឌលហៅទូរសព្ទប្រកបដោយប្រសិទ្ធភាព កាត់បន្ថយការចំណាយសរុបនៃប្រព័ន្ធ។ កម្មសិទ្ធិ។ល។)។ ទោះជាយ៉ាងណាក៏ដោយ ការអភិវឌ្ឍន៍សកម្មនៃទូរស័ព្ទ IP ត្រូវបានរារាំងដោយការពិតដែលថាពាក្យចចាមអារ៉ាមជាច្រើនអំពីសុវត្ថិភាពទាបរបស់វារីករាលដាលជុំវិញបច្ចេកវិទ្យានេះ។ Cisco Systems បាន​បង្ហាញ​ថា​នេះ​មិន​មែន​ជា​ករណី​នោះ​ទេ ហើយ​ការ​បោះ​ពុម្ព​ផ្សាយ​នេះ​មាន​គោល​បំណង​ដើម្បី​លុប​បំបាត់​ទេវកថា​ដែល​មាន​ស្រាប់​អំពី​អសន្តិសុខ​នៃ IP telephony។

វាគួរតែត្រូវបានកត់សម្គាល់ភ្លាមៗថា Cisco គឺជាក្រុមហ៊ុនផលិតតែមួយគត់ដែលផ្តល់ការការពារសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP នៅគ្រប់កម្រិតរបស់វា ចាប់ពីបរិយាកាសដឹកជញ្ជូនរហូតដល់កម្មវិធីសំឡេង។ នេះត្រូវបានសម្រេចដោយការអនុវត្តដំណោះស្រាយដែលជាផ្នែកមួយនៃគំនិតផ្តួចផ្តើមបណ្តាញការពារខ្លួនរបស់ Cisco ។ កម្រិតខ្ពស់សុវត្ថិភាពនៃដំណោះស្រាយ Cisco Systems ត្រូវបានបញ្ជាក់ដោយមន្ទីរពិសោធន៍ឯករាជ្យ។ ជាពិសេស ទស្សនាវដ្ដី NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) បានសាកល្បងដំណោះស្រាយ IP telephony ជាច្រើន ហើយមានតែ Cisco ប៉ុណ្ណោះដែលផ្តល់ចំណាត់ថ្នាក់ខ្ពស់បំផុតនៃ "SECURE" ("secure")។

1. ទូរស័ព្ទ IP មិនការពារប្រឆាំងនឹងការលួចស្តាប់

ដំណោះស្រាយទូរសព្ទ IP របស់ Cisco ប្រើប្រាស់បច្ចេកវិទ្យា និងយន្តការជាច្រើន ដើម្បីធានាបាននូវភាពសម្ងាត់នៃប្រតិបត្តិការ។ ទីមួយនេះគឺជាជម្រើស ចរាចរណ៍សំឡេងចូលទៅក្នុងផ្នែកបណ្តាញដែលខិតខំប្រឹងប្រែង និងដាក់កម្រិតការចូលប្រើការស្ទ្រីមសំឡេងដោយប្រើច្បាប់គ្រប់គ្រងការចូលប្រើនៅលើរ៉ោតទ័រ និងជញ្ជាំងភ្លើង។ ទីពីរ ចរាចរណ៍សំឡេងទាំងអស់អាចត្រូវបានការពារពីការលួចស្តាប់ដោយគ្មានការអនុញ្ញាតដោយប្រើបច្ចេកវិទ្យាបណ្តាញឯកជននិម្មិត (VPN)។ ពិធីការ IPSec អនុញ្ញាតឱ្យអ្នកការពារ ការសន្ទនាតាមទូរស័ព្ទអនុវត្តសូម្បីតែតាមរយៈបណ្តាញ បើកការចូលប្រើឧទាហរណ៍ អ៊ីនធឺណិត។ ហើយចុងក្រោយ Cisco បានអនុវត្តនៅក្នុងទូរស័ព្ទ IP របស់ខ្លួននូវពិធីការ SecureRTP (SRTP) ដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីធានាបាននូវភាពសម្ងាត់នៃសំឡេង ដែលមិនអនុញ្ញាតឱ្យអ្នកខាងក្រៅជ្រៀតចូលទៅក្នុងអាថ៌កំបាំងនៃការសន្ទនាតាមទូរស័ព្ទ។

2. IP telephony គឺងាយនឹងឆ្លងមេរោគដោយពពួក Worm មេរោគ និង Trojan

ដើម្បីការពារហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP ពីការឆ្លងដោយផ្សេងៗ មេរោគ Cisco ផ្តល់ជូននូវវិធានការការពារជាច្រើនដែលអនុញ្ញាតឱ្យអ្នកបង្កើតស្រទាប់ការពារដែលការពារមិនត្រឹមតែការណែនាំប៉ុណ្ណោះទេប៉ុន្តែថែមទាំងការរីករាលដាលនៃពពួក Worm មេរោគ។ សេះ Trojanនិងប្រភេទផ្សេងទៀតនៃសកម្មភាពព្យាបាទ។ ខ្សែការពារទីមួយគឺការប្រើប្រាស់ជញ្ជាំងភ្លើង និងប្រព័ន្ធការពារ និងការពារការវាយប្រហារ រួមជាមួយនឹងកម្មវិធីកំចាត់មេរោគពីក្រុមហ៊ុនដៃគូ Cisco ដើម្បីរឹតបន្តឹងការចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP ។

ខ្សែការពារទីពីរគឺផ្អែកលើការប្រើប្រាស់កំចាត់មេរោគ និងប្រព័ន្ធការពារការវាយប្រហារលើថ្នាំងចុងក្រោយដែលចូលរួមក្នុងហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP - Cisco IP SoftPhone, Cisco CallManager, Cisco Unity, Cisco IP Contact Center (IPCC) Express, Cisco Personal Assistant, Cisco ការឆ្លើយតបសំឡេងអន្តរកម្ម IP ។ល។

ខ្សែការពារចុងក្រោយ ប៉ុន្តែមិនមែនជាខ្សែការពារដ៏សំខាន់បំផុតនោះទេ គឺគំនិតផ្តួចផ្តើមការត្រួតពិនិត្យការចូលប្រើប្រាស់បណ្តាញ ដែលស្នើឡើងដោយប្រព័ន្ធស៊ីស្កូ។ ជាផ្នែកនៃគំនិតផ្តួចផ្តើមនេះ ស្ថានីយការងារ និងម៉ាស៊ីនមេទាំងអស់ដែលមិនគោរពតាមគោលការណ៍សុវត្ថិភាព (រួមទាំងកម្មវិធីកម្ចាត់មេរោគដែលមិនបានដំឡើង) នឹងមិនអាចចូលប្រើបានទេ។ បណ្តាញសាជីវកម្មនិងបំផ្លាញធនធានរបស់វា។

3. IP telephony មិនការពារប្រឆាំងនឹងការក្លែងបន្លំទូរស័ព្ទ និងម៉ាស៊ីនមេបញ្ជា

ដើម្បីការពារប្រឆាំងនឹងឧបករណ៍ដែលព្យាយាមក្លែងបន្លំខ្លួនជាទូរសព្ទ IP ដែលមានការអនុញ្ញាត ឬភ្ជាប់ទៅហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដោយគ្មានការអនុញ្ញាត Cisco ស្នើឱ្យប្រើមិនត្រឹមតែច្បាប់គ្រប់គ្រងការចូលប្រើដែលបានរៀបរាប់ខាងលើនៅលើរ៉ោតទ័រ និងជញ្ជាំងភ្លើងប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបានបង្កើតមធ្យោបាយនៃការផ្ទៀងផ្ទាត់យ៉ាងតឹងរឹងរបស់អ្នកជាវ IP ទាំងអស់ផងដែរ។ ហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ (រួមទាំងម៉ាស៊ីនមេគ្រប់គ្រងការហៅទូរសព្ទ) ដែលប្រើពិធីការស្តង់ដារផ្សេងៗដើម្បីផ្ទៀងផ្ទាត់ រួមទាំងវិញ្ញាបនបត្រ RADIUS, X.509 PKI ជាដើម។

4. អ្នកវាយប្រហារជាមួយ សិទ្ធិរដ្ឋបាលអាចរំខានដល់ដំណើរការនៃហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ 1P

CallManager ផ្តល់នូវសមត្ថភាពកម្រិតខ្ពស់ដើម្បីផ្តល់សិទ្ធិអំណាចដល់អ្នកគ្រប់គ្រងប្រព័ន្ធផ្សេងៗដោយមានតែសិទ្ធិដែលពួកគេត្រូវការដើម្បីអនុវត្តទំនួលខុសត្រូវរបស់ពួកគេ។ សិទ្ធិបែបនេះអាចរួមបញ្ចូល៖ ការចូលប្រើបានតែអានទៅការកំណត់ជាក់លាក់ អវត្តមានពេញលេញចូលប្រើពួកវា ការចូលប្រើការផ្លាស់ប្តូរ។ល។)។ លើសពីនេះ រាល់សកម្មភាពដែលធ្វើឡើងដោយអ្នកគ្រប់គ្រងត្រូវបានកត់ត្រាក្នុងកំណត់ហេតុពិសេស ហើយអាចវិភាគបានគ្រប់ពេលក្នុងការស្វែងរកដាននៃសកម្មភាពដែលគ្មានការអនុញ្ញាត។

ការកំណត់រចនាសម្ព័ន្ធទូរស័ព្ទ IP និងអន្តរកម្មរបស់ពួកគេជាមួយ CallManager ត្រូវបានគ្រប់គ្រងតាមរយៈឆានែលដែលការពារពីការចូលដោយគ្មានការអនុញ្ញាត ការពាររាល់ការប៉ុនប៉ងអាន ឬកែប្រែពាក្យបញ្ជា។ ដើម្បីការពារឆានែលគ្រប់គ្រង ពិធីការ និងក្បួនដោះស្រាយស្តង់ដារផ្សេងៗត្រូវបានប្រើប្រាស់ - IPSec, TLS, SHA-1 ។ល។

5. CallManager មិនមានសុវត្ថិភាពទេព្រោះវាត្រូវបានដំឡើងនៅលើវេទិកាវីនដូ

ទោះបីជាការពិតដែលថាម៉ាស៊ីនមេគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ CallManager IP ត្រូវបានដំឡើងនៅលើវេទិកាវីនដូក៏ដោយ វាមិនមានលក្ខណៈណាមួយដែលមាននៅក្នុងវេទិកានេះទេ។ ចំណុចខ្សោយ. នេះគឺដោយសារតែការពិតដែលថា CallManager ដំណើរការលើកំណែសុវត្ថិភាព និងធ្វើឱ្យប្រសើរនៃ Windows ដែលក្នុងនោះ៖

  • ពិការទាំងអស់។ សេវាកម្មដែលមិនចាំបាច់និងគណនី,
  • រាល់បំណះដែលចាំបាច់ និងធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ត្រូវបានដំឡើង,
  • គោលការណ៍សុវត្ថិភាពត្រូវបានកំណត់រចនាសម្ព័ន្ធ។
លើសពីនេះ CallManager ត្រូវបានការពារបន្ថែមដោយស្គ្រីបពិសេសដែលរួមបញ្ចូលក្នុងការចែកចាយ ដែលស្វ័យប្រវត្តិកម្មដំណើរការនៃការបង្កើនកម្រិតសុវត្ថិភាពនៃម៉ាស៊ីនមេគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP ។ កម្រិតបន្ថែមការការពាររបស់ CallManager ពីមេរោគ, ដង្កូវ, សេះ Trojan និងកម្មវិធី និងការវាយប្រហារព្យាបាទផ្សេងទៀតត្រូវបានសម្រេចតាមរយៈការប្រើប្រាស់កំចាត់មេរោគ (ឧទាហរណ៍ McAfee) និងប្រព័ន្ធការពារការវាយប្រហារ Cisco Secure Agent ដែលរារាំងរាល់ការប៉ុនប៉ងរបស់អ្នកវាយប្រហារដើម្បីបិទសមាសភាគសំខាន់នៃ ផ្នែកទូរស័ព្ទ IP ។

6. ទូរស័ព្ទ IP ងាយនឹងបរាជ័យ

ទោះបីជា សមាសធាតុផ្សេងៗទូរសព្ទ IP អាចងាយនឹងបដិសេធការវាយប្រហារសេវាកម្ម ដំណោះស្រាយ Cisco Systems ផ្តល់នូវវិធានការការពារជាច្រើនដែលការពារការវាយប្រហារ DoS ដោយខ្លួនឯង និងផលវិបាករបស់វា។ ដើម្បីធ្វើដូចនេះអ្នកអាចប្រើយន្តការនៃការផ្តល់ដែលបានបង្កើតឡើងនៅក្នុងឧបករណ៍បណ្តាញ សុវត្ថិភាពព័ត៌មានក៏ដូចជាដំណោះស្រាយបន្ថែមដែលផ្តល់ដោយ Cisco Systems៖

  • ការបែងចែកបណ្តាញសាជីវកម្មទៅជាផ្នែកដែលមិនត្រួតស៊ីគ្នានៃការបញ្ជូនសំឡេង និងទិន្នន័យ ដែលការពារការកើតឡើងនៃការវាយប្រហារទូទៅនៅក្នុងផ្នែក "សំឡេង" រួមទាំង។ និង DoS ។
  • ការអនុវត្តច្បាប់គ្រប់គ្រងការចូលប្រើពិសេសនៅលើរ៉ោតទ័រ និងជញ្ជាំងភ្លើងដែលការពារបរិវេណនៃបណ្តាញសាជីវកម្ម និងផ្នែកនីមួយៗរបស់វា។
  • ការអនុវត្តប្រព័ន្ធការពារការវាយប្រហារលើថ្នាំងភ្នាក់ងារសុវត្ថិភាព Cisco ។
  • ការអនុវត្តប្រព័ន្ធការពារឯកទេសប្រឆាំងនឹងការវាយប្រហារ DoS និង DDoS Cisco Guard និង Cisco Traffic Anomaly Detector។
  • ការអនុវត្តការកំណត់ពិសេសលើឧបករណ៍បណ្តាញ Cisco ដែលការពារការក្លែងបន្លំអាសយដ្ឋាន ដែលជារឿយៗត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារ DoS និងកម្រិតកម្រិតបញ្ជូន ដែលការពារធនធានដែលត្រូវបានវាយប្រហារពីការខូចខាតដោយលំហូរដ៏ធំនៃចរាចរដែលគ្មានប្រយោជន៍។
7. ទូរស័ព្ទ IP អាចចូលប្រើបានដោយមនុស្សដែលគ្មានការអនុញ្ញាត

ទូរស័ព្ទ IP ខ្លួនឯងមានការកំណត់ពិសេសមួយចំនួនដែលការពារការចូលប្រើដោយមិនមានការអនុញ្ញាត។ ការកំណត់បែបនេះរួមបញ្ចូលឧទាហរណ៍ ការចូលប្រើមុខងារទូរស័ព្ទ លុះត្រាតែបង្ហាញអត្តសញ្ញាណ និងពាក្យសម្ងាត់ ឬការហាមឃាត់ ការផ្លាស់ប្តូរក្នុងស្រុកការកំណត់ជាដើម។

ដើម្បីការពារកម្មវិធីដែលបានកែប្រែ និងឯកសារកំណត់រចនាសម្ព័ន្ធដោយគ្មានការអនុញ្ញាតពីការផ្ទុកនៅលើទូរស័ព្ទ IP ភាពសុចរិតរបស់ពួកគេត្រូវបានគ្រប់គ្រងដោយហត្ថលេខាឌីជីថលអេឡិចត្រូនិច និងវិញ្ញាបនបត្រ X.509។

8. CallManager អាចត្រូវបានផ្ទុកលើសទម្ងន់ជាមួយនឹងការហៅទូរស័ព្ទច្រើន។

ចំនួនអតិបរមានៃការហៅទូរសព្ទក្នុងមួយម៉ោងក្នុងមួយម៉ាស៊ីនមេ CallManager គឺរហូតដល់ 100,000 (អាស្រ័យលើការកំណត់) ហើយចំនួននេះអាចកើនឡើងដល់ 250,000 នៅពេលប្រើចង្កោម CallManager ។ ក្នុងពេលជាមួយគ្នានេះដែរ មានការកំណត់ពិសេសនៅក្នុង CallManager ដែលកំណត់ចំនួននៃការហៅចូលតាមតម្លៃដែលត្រូវការ។ លើសពីនេះ ប្រសិនបើការប្រាស្រ័យទាក់ទងជាមួយ CallManagers ណាមួយត្រូវបានបាត់បង់ ទូរសព្ទ IP អាចត្រូវបានចុះឈ្មោះឡើងវិញដោយស្វ័យប្រវត្តិនៅលើ CallManager បម្រុងទុក ក៏ដូចជាផ្លូវហៅទូរសព្ទអាចត្រូវបានផ្លាស់ប្តូរដោយស្វ័យប្រវត្តិ។

9. វាងាយស្រួលក្នុងការប្រព្រឹត្តការក្លែងបន្លំនៅក្នុងទូរស័ព្ទ IP

ម៉ាស៊ីនមេគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP CallManager មានលក្ខណៈពិសេសមួយចំនួនដែលជួយកាត់បន្ថយលទ្ធភាពនៃការក្លែងបន្លំតាមទូរស័ព្ទអាស្រ័យលើប្រភេទរបស់វា (ការលួចសេវា ការក្លែងបន្លំការហៅទូរសព្ទ ការបដិសេធការទូទាត់។ល។)។ ជាពិសេស សម្រាប់អតិថិជនម្នាក់ៗ អ្នកអាច៖

  • ទប់ស្កាត់ការហៅទូរស័ព្ទទៅ និងមកពីក្រុមមួយចំនួននៃលេខ,
  • រារាំងសមត្ថភាពក្នុងការបញ្ជូនបន្តការហៅទៅកាន់ប្រភេទផ្សេងៗនៃលេខ - ទូរស័ព្ទលើតុ ទូរសព្ទចល័ត អន្តរក្រុង អន្តរជាតិ។ល។
  • ត្រងការហៅតាមប៉ារ៉ាម៉ែត្រផ្សេងៗ
  • ល។
ជាងនេះទៅទៀត សកម្មភាពទាំងអស់នេះត្រូវបានអនុវត្តដោយមិនគិតពីឧបករណ៍ទូរស័ព្ទណាមួយដែលអ្នកជាវកំពុងធ្វើការហៅចេញនោះទេ។ នេះត្រូវបានសម្រេចដោយការផ្ទៀងផ្ទាត់អតិថិជនម្នាក់ៗដែលចូលប្រើទូរស័ព្ទ IP ។ ប្រសិនបើអ្នកប្រើមិនបានឆ្លងកាត់ដំណើរការផ្ទៀងផ្ទាត់ទេ ពួកគេអាចហៅបានតែបញ្ជីលេខទូរស័ព្ទដែលបានកំណត់ជាមុន ឧ. រថយន្តសង្គ្រោះប៉ូលីស ឬនាយកដ្ឋានជំនួយផ្ទៃក្នុង។

10.Traditional telephony គឺមានសុវត្ថិភាពជាង IP telephony

នេះគឺជាទេវកថាទូទៅបំផុតដែលមាននៅក្នុងវិស័យទូរស័ព្ទ។ ទូរគមនាគមន៍ប្រពៃណីដែលត្រូវបានអភិវឌ្ឍជាច្រើនទសវត្សរ៍មុនគឺមិនសូវមានសុវត្ថិភាពជាមួយនឹងបច្ចេកវិទ្យាទូរស័ព្ទ IP ថ្មី និងទំនើបជាងនេះ។ នៅក្នុងទូរស័ព្ទបែបប្រពៃណី វាកាន់តែងាយស្រួលក្នុងការភ្ជាប់ទៅការសន្ទនារបស់នរណាម្នាក់ ក្លែងបន្លំលេខ ការហៅទូរស័ព្ទ "ទឹកជំនន់" និងការគំរាមកំហែងជាច្រើនផ្សេងទៀត ដែលមួយចំនួនមិនមាន analogues នៅក្នុងទូរស័ព្ទ IP (ឧទាហរណ៍ ការហៅទៅសង្រ្គាម)។ សុវត្ថិភាពនៃទូរស័ព្ទតាមបែបប្រពៃណីត្រូវបានផ្តល់ដោយឧបករណ៍ និងយន្តការដែលមានតម្លៃថ្លៃជាងនៅក្នុងទូរស័ព្ទ IP ដែលឧបករណ៍ទាំងនេះត្រូវបានបង្កើតឡើងនៅក្នុងធាតុផ្សំនៃបច្ចេកវិទ្យានេះដោយខ្លួនឯង។ ជាឧទាហរណ៍ ដើម្បីការពារប្រឆាំងនឹងការលួចស្តាប់ វិធីសាស្ត្របុរាណប្រើ ឧបករណ៍ពិសេស- scramblers, ការគ្រប់គ្រងកណ្តាលដែលមិនអាចទៅរួចទេ; មិននិយាយពីតម្លៃនៃការទិញ និងដំឡើងពួកវានៅមុខទូរស័ព្ទនីមួយៗ។

ទូរស័ព្ទ IP៖
  1. ការស្តាប់. នៅពេលដែលព័ត៌មានសម្ងាត់អំពីអ្នកប្រើប្រាស់ (លេខសម្គាល់ ពាក្យសម្ងាត់) ឬទិន្នន័យសម្ងាត់ត្រូវបានបញ្ជូនតាមបណ្តាញដែលគ្មានសុវត្ថិភាព វាមានលទ្ធភាពនៃការលួចស្តាប់ និងការរំលោភបំពានដោយអ្នកវាយប្រហារដើម្បីផលប្រយោជន៍ផ្ទាល់ខ្លួន។
  2. ការរៀបចំទិន្នន័យ. ជាគោលការណ៍ ទិន្នន័យដែលបានបញ្ជូនតាមបណ្តាញទំនាក់ទំនងអាចផ្លាស់ប្តូរបាន។
  3. ការជំនួសទិន្នន័យអំពីអ្នកប្រើប្រាស់កើតឡើងនៅពេលដែលការប៉ុនប៉ងមួយត្រូវបានធ្វើឡើងដើម្បីបិទអ្នកប្រើប្រាស់បណ្តាញមួយជាអ្នកប្រើប្រាស់ផ្សេងទៀត។ នេះបង្កើតលទ្ធភាពនៃការចូលប្រើដោយគ្មានការអនុញ្ញាត មុខងារសំខាន់ៗប្រព័ន្ធ។
  4. ការបដិសេធសេវាកម្ម (DoS)គឺជាប្រភេទនៃការវាយប្រហារដោយអ្នកបំពាន ដែលជាលទ្ធផលដែលថ្នាំងមួយចំនួន ឬបណ្តាញទាំងមូលត្រូវបានបិទ។ វាត្រូវបានអនុវត្តដោយការជន់លិចប្រព័ន្ធជាមួយនឹងចរាចរដែលមិនចាំបាច់ ដំណើរការដែលប្រើប្រាស់ធនធានប្រព័ន្ធទាំងអស់។ ដើម្បីទប់ស្កាត់ការគំរាមកំហែងនេះ អ្នកត្រូវតែប្រើឧបករណ៍ដើម្បីទទួលស្គាល់ការវាយប្រហារបែបនេះ និងកំណត់ផលប៉ះពាល់របស់វាទៅលើបណ្តាញ។

ធាតុជាមូលដ្ឋានក្នុងវិស័យសន្តិសុខគឺ៖

  • ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ;
  • សុចរិតភាព;
  • ការត្រួតពិនិត្យសកម្ម។

ការប្រើប្រាស់ឧបករណ៍កម្រិតខ្ពស់ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជួយរក្សាអត្តសញ្ញាណ និងទិន្នន័យរបស់អ្នកឱ្យមានសុវត្ថិភាព។ មធ្យោបាយបែបនេះអាចផ្អែកលើព័ត៌មានដែលអ្នកប្រើប្រាស់ដឹង (ពាក្យសម្ងាត់)។

ភាពត្រឹមត្រូវនៃព័ត៌មាន- គឺជាសមត្ថភាពនៃមធ្យោបាយ បច្ចេកវិទ្យាកុំព្យូទ័រឬប្រព័ន្ធស្វ័យប្រវត្តិដើម្បីធានានូវភាពមិនប្រែប្រួលនៃព័ត៌មាននៅក្នុងលក្ខខណ្ឌនៃការបំភ្លៃដោយចៃដន្យ និង (ឬ) ការបំភ្លៃដោយចេតនា (ការបំផ្លិចបំផ្លាញ) ។ នៅក្រោម ការគំរាមកំហែងនៃការរំលោភលើសុចរិតភាពសំដៅលើការកែប្រែដោយចេតនាណាមួយនៃព័ត៌មានដែលបានរក្សាទុកនៅក្នុង ប្រព័ន្ធកុំព្យូទ័រឬផ្ទេរពីប្រព័ន្ធមួយទៅប្រព័ន្ធមួយទៀត។ នៅពេលដែលអ្នកវាយប្រហារផ្លាស់ប្តូរព័ត៌មានដោយចេតនា ភាពត្រឹមត្រូវនៃព័ត៌មានត្រូវបានគេនិយាយថាត្រូវបានសម្របសម្រួល។ ភាពសុចរិតក៏នឹងត្រូវបានសម្របសម្រួលផងដែរ ប្រសិនបើកម្មវិធីចៃដន្យ ឬកំហុសផ្នែករឹងបណ្តាលឱ្យមានការផ្លាស់ប្តូរដោយគ្មានការអនុញ្ញាត។

ហើយចុងក្រោយ ការត្រួតពិនិត្យសកម្មមានន័យថាពិនិត្យមើលការអនុវត្តត្រឹមត្រូវនៃធាតុបច្ចេកវិទ្យាសុវត្ថិភាព និងជួយរកឃើញការជ្រៀតចូលបណ្តាញដែលគ្មានការអនុញ្ញាត និងការវាយប្រហារ DoS ។ ការត្រួតពិនិត្យសកម្មទិន្នន័យដើរតួជាប្រព័ន្ធព្រមានជាមុនសម្រាប់ ប្រភេទផ្សេងៗបញ្ហា ដូច្នេះហើយអនុញ្ញាតឱ្យអ្នកចាត់វិធានការសកម្ម មុនពេលការខូចខាតធ្ងន់ធ្ងរកើតឡើង។

៨.២. វិធីសាស្រ្តនៃការការពារព័ត៌មានសម្ងាត់

មូលដ្ឋាននៃការទំនាក់ទំនងដែលមានសុវត្ថិភាពគឺ គ្រីបគ្រីប. Cryptography គឺជាសំណុំនៃវិធីសាស្រ្តសម្រាប់ការពារអន្តរកម្មព័ត៌មាន ពោលគឺការបង្វែរពីដំណើរការធម្មតា ស្តង់ដាររបស់ពួកគេ ដែលបណ្តាលមកពីសកម្មភាពព្យាបាទនៃប្រធានបទផ្សេងៗ វិធីសាស្ត្រផ្អែកលើក្បួនដោះស្រាយសម្ងាត់សម្រាប់ការបំប្លែងព័ត៌មាន។ លើសពីនេះ ការគ្រីបគ្រីបគឺជាសមាសធាតុសំខាន់មួយសម្រាប់យន្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងរក្សាការសម្ងាត់។ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ គឺជាមធ្យោបាយបញ្ជាក់ពីអត្តសញ្ញាណរបស់អ្នកផ្ញើ ឬអ្នកទទួលព័ត៌មាន។ សុចរិតភាពមានន័យថាទិន្នន័យមិនត្រូវបានផ្លាស់ប្តូរនិង ការសម្ងាត់បង្កើតស្ថានភាពដែលទិន្នន័យមិនអាចយល់បានដោយអ្នកផ្សេងក្រៅពីអ្នកផ្ញើ និងអ្នកទទួលរបស់វា។ ជាធម្មតា យន្តការគ្រីបគ្រីបមាននៅក្នុងទម្រង់ ក្បួនដោះស្រាយ (មុខងារគណិតវិទ្យា) និងតម្លៃសម្ងាត់ ( គន្លឹះ) លើសពីនេះទៅទៀត ប៊ីតកាន់តែច្រើននៅក្នុងគន្លឹះបែបនេះ វាកាន់តែងាយរងគ្រោះ។

វិធីសាស្រ្តសមស្របសម្រាប់ការវាយតម្លៃប្រសិទ្ធភាពនៃប្រព័ន្ធគ្រីបគ្រីបមិនទាន់ត្រូវបានបង្កើតឡើងនៅឡើយ។

លក្ខណៈវិនិច្ឆ័យសាមញ្ញបំផុតសម្រាប់ប្រសិទ្ធភាពបែបនេះគឺ ប្រូបាប៊ីលីតេនៃការរកឃើញគន្លឹះ, ឬ ថាមពលនៃគ្រាប់ចុចច្រើន (M). សំខាន់នេះគឺដូចគ្នានឹង កម្លាំងគ្រីប. ដើម្បីប៉ាន់ប្រមាណវាជាលេខ អ្នកក៏អាចប្រើភាពស្មុគស្មាញនៃការដោះស្រាយលេខសម្ងាត់ដោយសាកល្បងគ្រាប់ចុចទាំងអស់។

ទោះជាយ៉ាងណាក៏ដោយលក្ខណៈវិនិច្ឆ័យនេះមិនគិតពីសារៈសំខាន់ផ្សេងទៀតទេ។ តម្រូវការសម្រាប់ប្រព័ន្ធគ្រីបតូ:

  • ភាពមិនអាចទៅរួចនៃការបង្ហាញ ឬកែប្រែព័ត៌មានប្រកបដោយអត្ថន័យ ដោយផ្អែកលើការវិភាគនៃរចនាសម្ព័ន្ធរបស់វា។
  • ភាពល្អឥតខ្ចោះនៃពិធីការសុវត្ថិភាពដែលបានប្រើ;
  • ចំនួនអប្បបរមានៃព័ត៌មានសំខាន់ៗដែលបានប្រើ;
  • ភាពស្មុគស្មាញអប្បបរមានៃការអនុវត្ត (ក្នុងចំនួនប្រតិបត្តិការម៉ាស៊ីន) ការចំណាយរបស់វា;
  • ប្រសិទ្ធភាពខ្ពស់។

ជាការពិតណាស់វាជាការចង់ប្រើសូចនាករអាំងតេក្រាលមួយចំនួនដែលគិតគូរពីកត្តាទាំងនេះ។

បីសំខាន់ វិធីសាស្រ្តគ្រីបប្រើក្នុងប្រព័ន្ធសុវត្ថិភាព៖

ទាំងអស់។ បច្ចេកវិទ្យាដែលមានស្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងភាពសម្ងាត់ត្រូវបានបង្កើតឡើងដោយផ្អែកលើវិធីសាស្រ្តទាំងបីនេះ។

បច្ចេកវិទ្យាការអ៊ិនគ្រីបសោសម្ងាត់ ( ស៊ីមេទ្រី algorithm) តម្រូវ​ឱ្យ​អ្នក​ចូល​រួម​ទាំង​ពីរ​នៅ​ក្នុង​ការ​សន្ទនា​ដែល​បាន​អ៊ិនគ្រីប​មាន​សិទ្ធិ​ចូល​ប្រើ​សោដូចគ្នា។ នេះគឺចាំបាច់ពីព្រោះអ្នកផ្ញើប្រើសោដើម្បីអ៊ិនគ្រីបសារ ហើយអ្នកទទួលប្រើសោដូចគ្នាដើម្បីឌិគ្រីបវា។ ជាលទ្ធផល បញ្ហានៃការបញ្ជូនកូនសោនេះដោយសុវត្ថិភាពកើតឡើង។ ក្បួនដោះស្រាយការអ៊ិនគ្រីបស៊ីមេទ្រីពួកគេប្រើសោដែលមិនវែងខ្លាំង ហើយអាចអ៊ិនគ្រីបទិន្នន័យយ៉ាងច្រើនបានយ៉ាងឆាប់រហ័ស។ នីតិវិធីសម្រាប់ការប្រើប្រាស់ប្រព័ន្ធសោស៊ីមេទ្រីមានដូចខាងក្រោម៖

  1. សោសម្ងាត់ស៊ីមេទ្រីត្រូវបានបង្កើត ចែកចាយ និងរក្សាទុកដោយសុវត្ថិភាព។
  2. អ្នកផ្ញើប្រើ ក្បួនដោះស្រាយស៊ីមេទ្រីការអ៊ិនគ្រីបរួមជាមួយនឹងការសម្ងាត់ សោស៊ីមេទ្រី ដើម្បីទទួលបានអត្ថបទសម្ងាត់។
  3. អ្នកផ្ញើបញ្ជូនអត្ថបទដែលបានអ៊ិនគ្រីប។ សោសម្ងាត់ស៊ីមេទ្រីមិនត្រូវបានបញ្ជូនតាមបណ្តាញទំនាក់ទំនងដែលមិនមានសុវត្ថិភាពឡើយ។
  4. ដើម្បីស្ដារអត្ថបទដើម អ្នកទទួលក៏អនុវត្តដូចគ្នាដែរ។ ក្បួនដោះស្រាយស៊ីមេទ្រីការអ៊ិនគ្រីបរួមជាមួយនឹងដូចគ្នា។ សោស៊ីមេទ្រីដែលអ្នកទទួលមានរួចហើយ។

ស៊ីបភឺរដែលប្រើយ៉ាងទូលំទូលាយបំផុត។ ការអ៊ិនគ្រីបស៊ីមេទ្រីគឺ DES (ស្តង់ដារការអ៊ិនគ្រីបទិន្នន័យ) ដែលបង្កើតឡើងដោយ IBM ក្នុងឆ្នាំ 1976 និងត្រូវបានណែនាំដោយការិយាល័យស្តង់ដារជាតិរបស់សហរដ្ឋអាមេរិកសម្រាប់ប្រើប្រាស់ក្នុងវិស័យបើកចំហនៃសេដ្ឋកិច្ច។

ក្បួនដោះស្រាយ DES ដំណើរការដូចខាងក្រោម។ ទិន្នន័យត្រូវបានបង្ហាញជាឌីជីថល ហើយត្រូវបានបែងចែកទៅជាប្លុក 64 ប៊ីត បន្ទាប់មកត្រូវបានអ៊ិនគ្រីបដោយប្លុក។ ប្លុកត្រូវបានបែងចែកជាផ្នែកខាងឆ្វេងនិងខាងស្តាំ។ នៅដំណាក់កាលដំបូងនៃការអ៊ិនគ្រីប ជំនួសឱ្យផ្នែកខាងឆ្វេងនៃប្លុក ខាងស្តាំត្រូវបានសរសេរ ហើយជំនួសឱ្យផ្នែកខាងស្តាំ ម៉ូឌុលផលបូក 2 (ប្រតិបត្តិការ XOR) ខាងឆ្វេង និង ផ្នែកត្រឹមត្រូវ។. នៅដំណាក់កាលទី 2 ការជំនួសប៊ីតនិងការផ្លាស់ប្តូរត្រូវបានអនុវត្តតាមគ្រោងការណ៍ជាក់លាក់មួយ។ គ្រាប់ចុច DES មានប្រវែង 64 ប៊ីត ដែលក្នុងនោះ 56 គឺជាប៊ីតចៃដន្យ និង 8 គឺជាប៊ីតសេវាកម្មដែលប្រើដើម្បីគ្រប់គ្រងសោ។


អង្ករ។ ៨.១.

DES មានរបៀបប្រតិបត្តិការពីរគឺ ECB (Electronic Code Book) និង CBC (Cipher Block Chaning)។ របៀប SBC ខុសពីធម្មតានៅក្នុងនោះ មុនពេលអ៊ិនគ្រីបប្លុកបន្ទាប់ ប្រតិបត្តិការ "ផ្តាច់មុខ OR"ជាមួយនឹងប្លុកមុន។ នៅក្នុងស្ថានភាពដែលអាចទុកចិត្តបាន។ ក្បួនដោះស្រាយ DESហាក់បីដូចជាមិនគ្រប់គ្រាន់ ការកែប្រែរបស់វាត្រូវបានប្រើ - Triple DES (បីដង DES) ។ និយាយយ៉ាងតឹងរឹងមានវ៉ារ្យ៉ង់ជាច្រើននៃ Triple DES ។ សាមញ្ញបំផុតគឺការអ៊ិនគ្រីបឡើងវិញ៖ អត្ថបទធម្មតាត្រូវបានអ៊ិនគ្រីបដោយប្រើសោទីមួយ ដែលជាលទ្ធផលកូដសម្ងាត់ជាមួយទីពីរ ហើយចុងក្រោយទិន្នន័យដែលទទួលបានបន្ទាប់ពីជំហានទីពីរជាមួយនឹងទីបី។ គ្រាប់ចុចទាំងបីត្រូវបានជ្រើសរើសដោយឯករាជ្យពីគ្នាទៅវិញទៅមក។

IDEA (International Data Encryption Algorithm) គឺជា​ប្លុក​កូដ​សម្ងាត់​មួយ​ទៀត​ដែល​មាន​ប្រវែង​គន្លឹះ 128 ប៊ីត។ នេះ។ ស្តង់ដារអឺរ៉ុប(ពី ETH, Zurich) បានស្នើឡើងក្នុងឆ្នាំ 1990។ ក្បួនដោះស្រាយ IDEA មិនទាបជាងក្បួនដោះស្រាយ DES ទាក់ទងនឹងល្បឿន និងភាពធន់នឹងការវិភាគនោះទេ។

ខាសគឺជាកូដសម្ងាត់ដែលប្រើសោ 128 ប៊ីតនៅសហរដ្ឋអាមេរិក និងកូនសោ 40 ប៊ីតនៅក្នុងកំណែនាំចេញ។ CAST ត្រូវបានប្រើប្រាស់ដោយ Northern Telecom (Nortel)។

Skipjack cipher ដែលត្រូវបានបង្កើតឡើងដោយទីភ្នាក់ងារសន្តិសុខជាតិអាមេរិក (NSA) ប្រើគ្រាប់ចុច 80 ប៊ីត។ វាគឺជាផ្នែកមួយនៃគម្រោង Capstone ដែលមានបំណងអភិវឌ្ឍស្តង់ដារគ្រីបគ្រីបដែលមានជាសាធារណៈដែលបំពេញតាមតម្រូវការរបស់រដ្ឋាភិបាលសហរដ្ឋអាមេរិក។ Capstone មានធាតុផ្សំសំខាន់ៗចំនួនបួនគឺ Skipjack cipher; ក្បួនដោះស្រាយ ហត្ថលេខាឌីជីថល ផ្អែកលើស្តង់ដារ DSS (Digital Signature Standard) ។ មុខងារ hash ផ្អែកលើក្បួនដោះស្រាយ SHA (Secure Hash Algorithm); បន្ទះឈីបដែលអនុវត្តទាំងអស់ខាងលើ (ឧទាហរណ៍ Fortezza - បន្ទះ PCMCIA ផ្អែកលើបន្ទះឈីបនេះ) ។

លេខកូដ RC2 និង RC4 ត្រូវបានបង្កើតឡើងដោយ Ron Reivest ដែលជាស្ថាបនិកម្នាក់នៃ RSA Data Security និងទទួលបានប៉ាតង់ដោយក្រុមហ៊ុននេះ។ ពួកគេប្រើសោដែលមានប្រវែងខុសៗគ្នា ហើយជំនួស DES នៅក្នុងផលិតផលនាំចេញ។ RC2 cipher គឺជាអក្សរសម្ងាត់ដែលមានប្រវែងប្លុក 64 ប៊ីត។ លេខសម្ងាត់ RC4 គឺជាលេខកូដស្ទ្រីម។ នេះបើយោងតាមអ្នកអភិវឌ្ឍន៍។ ការសម្តែង RC2 និង RC4 ត្រូវតែមិនតិចជាងក្បួនដោះស្រាយ DES ទេ។

ប្រព័ន្ធអ៊ិនគ្រីបបើកចំហទាំងអស់មានគុណវិបត្តិចម្បងដូចខាងក្រោម។ ទីមួយ ភាពជឿជាក់នៃឆានែលសម្រាប់ការបញ្ជូនគន្លឹះទៅកាន់អ្នកចូលរួមទីពីរក្នុងការចរចាសម្ងាត់គឺជាមូលដ្ឋានគ្រឹះ។ ម្យ៉ាងវិញទៀត សោត្រូវតែបញ្ជូនតាមបណ្តាញសម្ងាត់។ ទីពីរចំពោះសេវាកម្ម ជំនាន់គន្លឹះតម្រូវការកើនឡើងគឺត្រូវបានដាក់ដោយសារតែការពិតដែលថាសម្រាប់អតិថិជន n នៅក្នុងគ្រោងការណ៍អន្តរកម្ម "អ្នកគ្រប់គ្នាជាមួយមនុស្សគ្រប់គ្នា" គ្រាប់ចុច n x (n-1)/2 ត្រូវបានទាមទារ នោះគឺការពឹងផ្អែកនៃចំនួនសោលើចំនួនអតិថិជនគឺ បួនជ្រុង។

ដើម្បីដោះស្រាយបញ្ហាខាងលើ ការអ៊ិនគ្រីបស៊ីមេទ្រីប្រព័ន្ធដែលមានការអ៊ិនគ្រីបមិនស៊ីមេទ្រី ឬការអ៊ិនគ្រីបសោសាធារណៈ ត្រូវបានរចនាឡើងដែលប្រើលក្ខណៈសម្បត្តិនៃមុខងារសម្ងាត់ដែលបង្កើតឡើងដោយ Diffie និង Hellman ។

ប្រព័ន្ធទាំងនេះត្រូវបានកំណត់លក្ខណៈដោយវត្តមាននៃសោពីរសម្រាប់អតិថិជននីមួយៗ៖ សាធារណៈ និងឯកជន (សម្ងាត់)។ ក្នុងករណីនេះ សោសាធារណៈត្រូវបានបញ្ជូនទៅអ្នកចូលរួមទាំងអស់ក្នុងការចរចាសម្ងាត់។ ដូច្នេះបញ្ហាពីរត្រូវបានដោះស្រាយ៖ មិនចាំបាច់មានការចែកចាយសោសម្ងាត់ទេ (ចាប់តាំងពីប្រើសោសាធារណៈ វាមិនអាចទៅរួចទេក្នុងការឌិគ្រីបសារដែលបានអ៊ិនគ្រីបសម្រាប់សោសាធារណៈដូចគ្នា ហើយដូច្នេះវាគ្មានចំណុចណាមួយក្នុងការស្ទាក់ចាប់សោសាធារណៈទេ) ; វាក៏មិនមានការពឹងផ្អែកបួនជ្រុងនៃចំនួនកូនសោលើចំនួនអ្នកប្រើប្រាស់ដែរ - សម្រាប់ n អ្នកប្រើប្រាស់ 2n keys ត្រូវបានទាមទារ។

cipher ដំបូងបានបង្កើតឡើងនៅលើគោលការណ៍ ការអ៊ិនគ្រីប asymmetricគឺជាអក្សរសម្ងាត់ RSA ។

អក្សរសម្ងាត់ RSA ត្រូវបានដាក់ឈ្មោះតាមអក្សរដំបូងនៃនាមត្រកូលរបស់អ្នកបង្កើតរបស់វា៖ Ron Rivest (Rivest), Adi Shamir និង Leonard Eldeman (Aldeman) - ស្ថាបនិកក្រុមហ៊ុន RSA Data Security ។ RSA មិនត្រឹមតែមានប្រជាប្រិយភាពបំផុតប៉ុណ្ណោះទេ សញ្ញាសម្ងាត់ asymmetricប៉ុន្តែប្រហែលជា ស៊ីបភឺរដ៏ល្បីល្បាញបំផុត ជាទូទៅ។ ហេតុផលគណិតវិទ្យាសម្រាប់ RSA មានដូចខាងក្រោម៖ ការស្វែងរកការបែងចែកនៃចំនួនធម្មជាតិដ៏ធំបំផុតដែលជាផលនៃបឋមពីរគឺជានីតិវិធីដែលពឹងផ្អែកខ្លាំងលើកម្លាំងពលកម្ម។ ដោយប្រើសោសាធារណៈ វាពិបាកណាស់ក្នុងការគណនាសោឯកជនដែលត្រូវគ្នា។ RSA cipher ត្រូវបានសិក្សាយ៉ាងទូលំទូលាយ ហើយត្រូវបានគេរកឃើញថារឹងមាំនៅពេលដែលប្រវែងគន្លឹះគ្រប់គ្រាន់។ ឧទាហរណ៍ 512 ប៊ីតមិនគ្រប់គ្រាន់ដើម្បីធានាបាននូវភាពធន់ ប៉ុន្តែ 1024 ប៊ីតត្រូវបានចាត់ទុកថាជាជម្រើសដែលអាចទទួលយកបាន។ អ្នកខ្លះប្រកែកថានៅពេលដែលថាមពលរបស់ខួរក្បាលកើនឡើង RSA នឹងកាន់តែមានភាពធន់នឹងការវាយប្រហារដោយបង្ខំ។ ទោះជាយ៉ាងណាក៏ដោយ ការកើនឡើងនៃថាមពលរបស់ខួរក្បាលនឹងធ្វើឱ្យវាអាចប្រើគ្រាប់ចុចបានយូរជាងមុន ដែលនឹងបង្កើនកម្លាំងនៃស៊ីបភឺរ។


អង្ករ។ ៨.២.

cipher ដំណើរការដោយយោងតាមក្បួនដោះស្រាយខាងក្រោម៖

  • ជំហានដំបូង៖ សាមញ្ញបំផុតពីរត្រូវបានជ្រើសរើសដោយចៃដន្យ លេខធំ p និង q ។
  • ជំហានទីពីរ៖ ផលិតផលពីរត្រូវបានគណនា៖ n = pq, m = (p-1)(q-1) ។
  • ជំហានទីបី៖ ចំនួនគត់ចៃដន្យ E ត្រូវបានជ្រើសរើសដែលមិនមានកត្តារួមជាមួយ m ។
  • ជំហានទីបួន៖ រក D ដូចថា DE = 1 modulo m ។
  • ជំហានទីប្រាំ៖ ប្រភពត្រូវបានបែងចែកទៅជាប្លុកនៃប្រវែង X មិនលើសពី n ។
  • ជំហានទីប្រាំមួយ៖ ដើម្បីអ៊ិនគ្រីបសារ អ្នកត្រូវគណនា C=XE modulo n.
  • ជំហានទីប្រាំពីរ៖ សម្រាប់ការឌិគ្រីប គណនា X = CD modulo n.

សម្រាប់ការអ៊ិនគ្រីប អ្នកត្រូវស្គាល់លេខគូ E, n, សម្រាប់ការឌិគ្រីប - D, n ។ គូទីមួយគឺជាសោសាធារណៈ ទីពីរគឺសោឯកជន។ ដោយដឹងពីសោសាធារណៈ អ្នកអាចគណនាតម្លៃនៃសោឯកជន។ សកម្មភាពកម្រិតមធ្យមចាំបាច់នៃការផ្លាស់ប្តូរនេះគឺដើម្បីស្វែងរកកត្តា p និង q ដែលវាចាំបាច់សម្រាប់កត្តា n ទៅជាកត្តា។ នីតិវិធីនេះចំណាយពេលយូរណាស់។ កម្លាំងគ្រីបគ្រីបនៃ RSA cipher ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងភាពស្មុគស្មាញនៃការគណនាដ៏ធំសម្បើម។

លេខសម្ងាត់មួយទៀតដោយប្រើ ការអ៊ិនគ្រីប asymmetric, គឺ

បញ្ហានៃការធានាសុវត្ថិភាពទំនើប បច្ចេកវិទ្យាព័ត៌មាន(ហើយនេះរួមបញ្ចូលទាំងទូរស័ព្ទ IP) ឥឡូវនេះស្ថិតនៅក្នុងការយកចិត្តទុកដាក់របស់មនុស្សជាច្រើន - ហើយនេះជាការពិតជាពិសេសសម្រាប់រចនាសម្ព័ន្ធពាណិជ្ជកម្មណាមួយ។ គ្មាននរណាម្នាក់ចង់ប្រឈមមុខនឹងការគំរាមកំហែង និងហានិភ័យថ្មីបន្ទាប់ពីអនុវត្តដំណោះស្រាយ IT ថ្មីដែលរចនាឡើងដើម្បីបង្កើនប្រសិទ្ធភាពដំណើរការអាជីវកម្មរបស់ក្រុមហ៊ុននោះទេ។ នោះហើយជាមូលហេតុដែលសុវត្ថិភាពព័ត៌មានឥឡូវនេះកំពុងក្លាយជាអាទិភាពកំពូលនៅពេលជ្រើសរើសប្រព័ន្ធ IT ថ្មី ជាពិសេសក្នុងអំឡុងពេលផ្លាស់ប្តូរទៅ IP telephony។

ការដោះស្រាយបញ្ហាសន្តិសុខ - វិធីសាស្រ្តរួមបញ្ចូលគ្នា

មិនមានដំណោះស្រាយសុវត្ថិភាពទូរស័ព្ទ IP ជាសកលទេ ប៉ុន្តែការដោះស្រាយបញ្ហានេះគួរតែជាផ្នែកសំខាន់មួយនៃយុទ្ធសាស្ត្រសុវត្ថិភាពរួមរបស់អ្នក។ បច្ចេកវិទ្យា VoIP គឺជាកម្មវិធីដែលដំណើរការលើបណ្តាញ IP ដែលបច្ចេកទេសសុវត្ថិភាពត្រឹមត្រូវត្រូវតែអនុវត្ត ពោលគឺឧ។ អ្នកត្រូវយល់ឱ្យបានច្បាស់៖ សុវត្ថិភាពនៃបណ្តាញរបស់អ្នកទាំងមូលកាន់តែខ្ពស់ វានឹងកាន់តែពិបាកសម្រាប់អ្នកវាយប្រហារក្នុងការរៀបចំការលួចស្តាប់ ការវាយប្រហារការបដិសេធសេវាកម្ម (DoS) ឬ "hack" កម្មវិធីប្រព័ន្ធ OS ឬ VoIP ។ ហើយអ្នកឯកទេសប្រព័ន្ធ Intercomputer ត្រៀមខ្លួនជាស្រេចដើម្បីជួយអ្នក!

វិសាលគមនៃការគំរាមកំហែងតាមទូរស័ព្ទ IP

ការគំរាមកំហែងទូទៅបំផុតដែលបណ្តាញ IP ត្រូវបានលាតត្រដាងរួមមាន:

  • ការចុះឈ្មោះស្ថានីយរបស់នរណាម្នាក់ អនុញ្ញាតឱ្យអ្នកធ្វើការហៅចេញដោយចំណាយរបស់អ្នកផ្សេង។
  • ការជំនួសអ្នកជាវ;
  • ធ្វើការផ្លាស់ប្តូរសំឡេង ឬសញ្ញាចរាចរណ៍;
  • ការកាត់បន្ថយគុណភាពនៃចរាចរណ៍សំឡេង;
  • ការបញ្ជូនបន្តនៃសំឡេង ឬសញ្ញាចរាចរណ៍;
  • ការស្ទាក់ចាប់សំឡេងឬសញ្ញាចរាចរណ៍;
  • ការក្លែងបន្លំសារជាសំឡេង;
  • បញ្ចប់វគ្គទំនាក់ទំនង;
  • ការបដិសេធសេវាកម្ម;
  • ការចូលប្រើដោយមិនបានអនុញ្ញាតពីចម្ងាយទៅកាន់សមាសធាតុហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP;
  • ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលមិនមានការអនុញ្ញាតនៅលើទូរស័ព្ទ IP (ឧទាហរណ៍ ក្នុងគោលបំណងណែនាំ Trojan ឬ spyware);
  • ការលួចចូលប្រព័ន្ធវិក័យប័ត្រ (សម្រាប់ទូរស័ព្ទប្រតិបត្តិករ) ។

ហើយនេះមិនមែនជាបញ្ជីទាំងមូលនៃបញ្ហាដែលអាចកើតមានទាក់ទងនឹងការប្រើប្រាស់ទូរស័ព្ទ IP នោះទេ។ នេះមានន័យថា - ជាមួយនឹងគុណសម្បត្តិទាំងអស់នៃ IP telephony - អ្នកត្រូវពិចារណាភ្លាមៗអំពីបញ្ហានៃការរៀបចំប្រព័ន្ធសម្រាប់ការពារបណ្តាញរបស់អ្នក ដែលនឹងអនុញ្ញាតឱ្យអ្នកទាញយកអត្ថប្រយោជន៍ពេញលេញពីអត្ថប្រយោជន៍នៃការផ្លាស់ប្តូរទៅបច្ចេកវិទ្យា VoIP ។

ស្ថាបត្យកម្មទូរស័ព្ទ IP រួមមានសំខាន់ៗមួយចំនួន ធាតុរចនាសម្ព័ន្ធដែលនីមួយៗអាចងាយរងការវាយប្រហារដោយអ្នកឈ្លានពាន។ ដូច្នេះវិធីសាស្រ្តរួមបញ្ចូលគ្នាគឺត្រូវបានទាមទារនៅពេលអនុវត្តភារកិច្ចនៃការធានាកម្រិតអតិបរមានៃសុវត្ថិភាព ទូរស័ព្ទសាជីវកម្ម. អ្នកឯកទេសរបស់ក្រុមហ៊ុន ប្រព័ន្ធអន្តរកុំព្យូទ័រនឹងជួយអ្នកការពារការលេចធ្លាយព័ត៌មាន និងធានា ការការពារដ៏ទូលំទូលាយហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP ។ ហើយមិនត្រឹមតែមកពីការគំរាមកំហែងនៃការឆ្លងមេរោគដោយមេរោគ (ការណែនាំ និងការរីករាលដាលនៃពពួក Worm មេរោគ Trojan និងប្រភេទ malware ផ្សេងទៀត) ប៉ុន្តែក៏មានពីការលួចស្តាប់ និងការស្ទាក់ចាប់ព័ត៌មានផងដែរ។

ក្នុងនាមជា "ខ្សែការពារទីមួយ" យើងផ្តល់ជូន៖ប្រព័ន្ធការពារ និងការពារការវាយប្រហារ ដែលជាគោលការណ៍កំណត់ការចូលទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP និងអនុវត្តការត្រួតពិនិត្យជាប្រចាំនៃប្រព័ន្ធ។ យើងក៏សូមណែនាំឱ្យប្រើផងដែរ។ កំចាត់មេរោគស្តង់ដារនិងជញ្ជាំងភ្លើង។

ការប្រើប្រាស់បច្ចេកវិទ្យាទាំងនេះផ្តល់ឱកាសដល់៖

  • ត្រងចរាចរសម្រាប់គ្រប់គ្រងការដំឡើងនៃការភ្ជាប់ទូរស័ព្ទ IP;
  • ការបញ្ជូនចរាចរត្រួតពិនិត្យតាមរយៈ NAT និងផ្លូវរូងក្រោមដីបណ្តាញ;
  • ការស្ទាក់ចាប់ TCP ដែលធានាថាវគ្គ TCP ត្រូវបានបិទ ដែលអនុញ្ញាតឱ្យការពារប្រឆាំងនឹងការវាយប្រហារនៃការបដិសេធសេវាកម្ម (DoS) ជាច្រើន។

ការការពារការវាយប្រហារ DoS

ការវាយប្រហារ DoS ទូទៅត្រូវបានរារាំងដោយជោគជ័យនៅកម្រិតស្ថាបត្យកម្មទូរស័ព្ទ IP ដោយ៖

  • ការបែងចែកបណ្តាញសាជីវកម្មទៅជាផ្នែកដែលមិនត្រួតស៊ីគ្នានៃការបញ្ជូនសំឡេង និងទិន្នន័យ ដែលការពារការវាយប្រហារទូទៅ រួមទាំង DoS ពីការកើតឡើងនៅក្នុងផ្នែក "សំឡេង" ។
  • ការដំឡើងច្បាប់គ្រប់គ្រងការចូលប្រើពិសេសនៅលើរ៉ោតទ័រ និងជញ្ជាំងភ្លើងដែលការពារបរិវេណនៃបណ្តាញសាជីវកម្ម និងផ្នែកនីមួយៗរបស់វា;
  • ការអនុវត្តប្រព័ន្ធការពារការវាយប្រហារលើថ្នាំង;
  • ការអនុវត្តប្រព័ន្ធការពារឯកទេសប្រឆាំងនឹងការវាយប្រហារ DoS និង DDoS;
  • ដោយប្រើការកំណត់ពិសេសលើឧបករណ៍បណ្តាញដែលការពារការក្លែងបន្លំអាសយដ្ឋាន ដែលជារឿយៗត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារ DoS និងកំណត់កម្រិតបញ្ជូន ដែលការពារធនធានដែលត្រូវបានវាយប្រហារពីការខូចខាតដោយលំហូរដ៏ធំនៃចរាចរដែលគ្មានប្រយោជន៍។

"ខ្សែការពារទីពីរ"- ការការពារតាមរយៈការប្រើប្រាស់ពិធីការអ៊ិនគ្រីប និងការរៀបចំវិធានការសុវត្ថិភាពសម្រាប់ការប្រើប្រាស់ឧបករណ៍ប្រព័ន្ធបណ្តាញ IP (ពីម៉ាស៊ីនមេទៅទូរស័ព្ទ IP ខ្លួនឯង)។

វាគឺជាការកំណត់រចនាសម្ព័ន្ធឯកទេសនៃគោលនយោបាយសន្តិសុខប្រព័ន្ធ IP សិទ្ធិអនុញ្ញាត និងការចូលប្រើប្រាស់របស់អ្នកជាវខាងក្នុង និងការបង្កើតការរឹតបន្តឹងលើមុខងារប្រតិបត្តិការនៃប្រព័ន្ធដែលនឹងបម្រើជាគំនិតផ្តួចផ្តើមដ៏មានប្រសិទ្ធភាពបំផុតមួយ ដើម្បីបង្កើនប្រសិទ្ធភាពកម្រិតសុវត្ថិភាព និងប្រតិបត្តិការរបស់ ប្រព័ន្ធ IP របស់ក្រុមហ៊ុន។ ហានិភ័យដែលទាក់ទងនឹងការគំរាមកំហែងនៃការឈ្លានពានដោយគ្មានការអនុញ្ញាតពីអ្នកវាយប្រហារចូលទៅក្នុងប្រព័ន្ធគ្រប់គ្រងទូរស័ព្ទ IP ក៏អាចត្រូវបានកាត់បន្ថយទៅសូន្យផងដែរ។ ដោយសារហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP ខ្លួនវាគឺជាប្រព័ន្ធដ៏ទូលំទូលាយមួយ ការកំណត់រចនាសម្ព័ន្ធនៃទូរស័ព្ទ IP និងអន្តរកម្មរបស់ពួកគេជាមួយម៉ាស៊ីនមេបញ្ជាត្រូវតែត្រូវបានគ្រប់គ្រងតាមរយៈឆានែលដែលការពារពីការចូលដោយគ្មានការអនុញ្ញាត ដែលការពារការប៉ុនប៉ងអាន ឬកែប្រែពាក្យបញ្ជា។ ពិធីការផ្សេងៗអាចត្រូវបានប្រើដើម្បីការពារឆានែលបញ្ជា - IPSec, SSL, TLS ។ល។

ការអ៊ិនគ្រីបចរាចរណ៍

នេះគឺជាសមាសធាតុសំខាន់បំផុតមួយនៃសុវត្ថិភាពទូរស័ព្ទ IP ។ ដំណោះស្រាយ VoIP ដែលមានស្រាប់ភាគច្រើនមិនទាន់គាំទ្រការអ៊ិនគ្រីបគ្រីបទេ។ ទោះជាយ៉ាងណាក៏ដោយ ការភ្ជាប់ទូរស័ព្ទដែលមានសុវត្ថិភាពគឺមានភាពងាយស្រួលក្នុងការអនុវត្តជាមួយនឹងបច្ចេកវិទ្យា VoIP ជាជាងការប្រើប្រាស់បែបប្រពៃណី ខ្សែទូរស័ព្ទ. អវត្ដមាននៃការអ៊ិនគ្រីប វាមានភាពងាយស្រួលក្នុងការត្រួតពិនិត្យការហៅតាម VoIP (នេះអាចត្រូវបានធ្វើដោយប្រើឧបករណ៍វិភាគចរាចរណ៍) ហើយជាមួយនឹងល្បិចមួយចំនួន ថែមទាំងផ្លាស់ប្តូរខ្លឹមសាររបស់វាទៀតផង។ ដំណោះស្រាយចំពោះបញ្ហានេះគឺការអ៊ិនគ្រីបចរាចរណ៍ និងការប្រើប្រាស់ពិធីការពិសេស។ សូមអរគុណចំពោះការអ៊ិនគ្រីប ទិន្នន័យទាំងអស់ដែលដឹកជញ្ជូនតាមរយៈបណ្តាញ IP នឹងមានលេខកូដសម្ងាត់តែមួយគត់ដែលមានតែអ្នកទទួលចុងក្រោយប៉ុណ្ណោះដែលអាច "អាន" ហើយទោះបីជាព័ត៌មានត្រូវបានស្ទាក់ចាប់ដោយអ្នកវាយប្រហារក៏ដោយ ពួកគេនឹងមិនអាចប្រើវាដោយគ្មានសោឌិកូដបានទេ។

ទូរស័ព្ទ IP និងការប្រើប្រាស់ប្រព័ន្ធ VoIP គឺមានសុវត្ថិភាពទាំងស្រុង - បំពេញតម្រូវការ និងតម្រូវការនៃអាជីវកម្មទំនើប ជាមួយនឹងវិធីសាស្រ្តមានសមត្ថកិច្ចក្នុងការរៀបចំប្រព័ន្ធ និងការកំណត់រចនាសម្ព័ន្ធរបស់វាតាមទស្សនៈ។ ការការពារបណ្តាញ, VoIP បង្កើនកម្រិតនៃការប្រកួតប្រជែងរបស់ក្រុមហ៊ុនយ៉ាងសំខាន់ រួមចំណែកដល់ការប្រើប្រាស់ធនធានប្រកបដោយហេតុផល និងបង្កើនភាពចល័ត និងផលិតភាពរបស់បុគ្គលិក។ ក្នុងពេលជាមួយគ្នានេះអ្នកត្រូវចងចាំ: ឱ្យបានច្រើនតាមដែលអាចធ្វើទៅបាន។ វិធានការមានប្រសិទ្ធភាពវាអាចមានសុវត្ថិភាពនៅពេលដែលពួកគេគ្របដណ្តប់គ្រប់កម្រិត ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ.

អ្នកឯកទេសរបស់ក្រុមហ៊ុនរបស់យើងនឹងជួយអ្នកឱ្យធានាបាននូវសុវត្ថិភាពនៃហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP របស់អ្នក!

សម្រាប់ឯកសារយោង៖

វាជារឿងសំខាន់ដែលត្រូវចងចាំថា ការវាយប្រហារពីអ្នកឈ្លានពាន (ការភ្ជាប់ខ្សែ ការក្លែងបន្លំអតិថិជន ការចូលទៅក្នុងប្រព័ន្ធដោយគ្មានការអនុញ្ញាត ការស្ទាក់ចាប់ព័ត៌មាន ការផ្ទុកលើសចំណុះ) គឺអាចអនុវត្តបានចំពោះទាំងទូរស័ព្ទប្រពៃណី និង IP ។ បញ្ហាគឺថាការស្វែងរក ទប់ស្កាត់ និងការពារការគំរាមកំហែងនៅក្នុងប្រព័ន្ធទូរស័ព្ទ IP គឺជាកិច្ចការសាមញ្ញជាង និងមានតម្លៃថោកជាង។ ទន្ទឹមនឹងនេះការចំណាយលើទូរស័ព្ទ IP គឺទាបជាង analogue យ៉ាងខ្លាំង។ បញ្ហាប្រឈមគឺត្រូវអនុវត្ត និងកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ IP ឲ្យបានត្រឹមត្រូវ និងធានាឱ្យបាន ប្រតិបត្តិការគ្មានការរំខានជាមួយនឹងហានិភ័យតិចតួចបំផុត។

សុវត្ថិភាពនៃដំណោះស្រាយទូរគមនាគមន៍ IP ដោយសារតែការកើនឡើងនៃប្រជាប្រិយភាព និងតម្រូវការរបស់ពួកគេ គឺជាកត្តាសម្រេចចិត្តនៅពេលសាងសង់ហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ IP ហើយទាមទារការយកចិត្តទុកដាក់ជាពិសេស ក៏ដូចជាកត្តាស្តង់ដារដូចជាតម្លៃនៃឧបករណ៍ខ្លួនវា ដំណើរការ មុខងារជាដើម។ .

សំណួរណាមួយ? ទាក់ទងមកយើងសម្រាប់ដំបូន្មាន និងទទួលបាន ព័ត៌មានលំអិតអំពីលទ្ធភាពនៃការរៀបចំការការពារទូរស័ព្ទ IP!

អត្ថបទគួរឱ្យចាប់អារម្មណ៍ខ្លាំងណាស់អំពីសុវត្ថិភាពនៅក្នុងទូរស័ព្ទ IP ត្រូវបានបោះពុម្ពនៅលើគេហទំព័រ linkmeup.ru ។ យើងកំពុងបង្ហោះវាដោយគ្មានការផ្លាស់ប្តូរ ដូច្នេះដើម្បីនិយាយ ពីអ្នកនិពន្ធ។

=======================

ជំរាបសួរ សហការី និងមិត្តភ័ក្តិ ខ្ញុំ Vadim Semenov រួមជាមួយនឹងក្រុមគម្រោង network-class.net បង្ហាញអត្ថបទពិនិត្យឡើងវិញដែលប៉ះពាល់ដល់និន្នាការសំខាន់ៗ និងការគំរាមកំហែងនៅក្នុងទូរស័ព្ទ IP ហើយសំខាន់បំផុត ឧបករណ៍ការពារទាំងនោះដែល នៅពេលនេះត្រូវបានផ្តល់ជូនដោយក្រុមហ៊ុនផលិតជាការការពារ (ជាភាសារបស់អ្នកឯកទេសសុវត្ថិភាព សូមពិចារណាថាតើឧបករណ៍អ្វីខ្លះដែលក្រុមហ៊ុនផលិតផ្តល់ជូនដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយបុគ្គលដែលមិនស្របច្បាប់)។ ដូច្នេះពាក្យតិចជាង - តោះចុះទៅអាជីវកម្ម។
សម្រាប់អ្នកអានជាច្រើន ពាក្យថា IP telephony ត្រូវបានបង្កើតឡើងជាយូរមកហើយ ហើយក៏ជាការពិតផងដែរ។ ទូរស័ព្ទនេះ។"ប្រសើរជាង" ដែលមានតម្លៃថោកជាងបើប្រៀបធៀបទៅនឹងទូរស័ព្ទសាធារណៈ (PSTN) ដែលសំបូរទៅដោយផ្សេងៗ មុខងារបន្ថែមល។ ហើយនេះជាការពិតទោះជាយ៉ាងណា... មួយផ្នែក។ ដូចដែលយើងបានផ្លាស់ប្តូរពីទូរស័ព្ទ analogue (ឌីជីថល) ជាមួយនឹងខ្សែអតិថិជនរបស់វា (ពីទូរស័ព្ទរបស់អ្នកជាវទៅស្ថានីយ ឬផ្នែកបន្ថែមស្ថានីយ៍) និងខ្សែតភ្ជាប់ (ខ្សែទំនាក់ទំនងអន្តរស្ថានីយ) គឺមិនតិចជាងតែនៅក្នុងតំបន់ចូល និងគ្រប់គ្រងនៃទូរសព្ទនោះទេ។ អ្នកផ្តល់សេវា។ ម្យ៉ាងវិញទៀត មនុស្សធម្មតាមិនមានលទ្ធភាពចូលទៅទីនោះទេ (ឬជាក់ស្តែង ប្រសិនបើអ្នកមិនគិតពីបំពង់ខ្សែ)។ ខ្ញុំចាំបាននូវសំណួរមួយនៅលើវេទិកា hacker ចាស់ដ៏ល្អ៖ “ប្រាប់ខ្ញុំពីរបៀបចូលប្រើ PBX? - ចម្លើយ៖ «ឯង​យក​គ្រឿង​ឈូស​ឆាយ​វាយ​ជញ្ជាំង​អគារ​ប្តូរ​ទូរសព្ទ​ហើយ វ៉ូឡា»។ ហើយរឿងកំប្លែងនេះមានចំណែកនៃការពិតរបស់វា) ទោះបីជាយ៉ាងណាក៏ដោយ ជាមួយនឹងការផ្ទេរទូរស័ព្ទទៅកាន់បរិស្ថាន IP ថោក យើងក៏បានទទួលការគំរាមកំហែងដែលបរិស្ថាន IP បើកចំហបង្កឡើងផងដែរ។ ឧទាហរណ៍នៃការគំរាមកំហែងដែលទទួលបានមានដូចខាងក្រោម៖

  • ការស្រូបច្រកសញ្ញា ដើម្បីធ្វើការហៅចេញដោយចំណាយរបស់អ្នកផ្សេង
  • ការលួចស្តាប់ដោយការស្ទាក់ចាប់កញ្ចប់សំឡេង IP
  • ការស្ទាក់ចាប់ហៅទូរស័ព្ទ អ្នកប្រើប្រាស់មិនស្របច្បាប់ដែលដាក់ថាជាអ្នកប្រើប្រាស់ស្របច្បាប់ ការវាយប្រហារដោយមនុស្សនៅកណ្តាល
  • ការវាយប្រហារ DDOS លើម៉ាស៊ីនមេផ្តល់សញ្ញាស្ថានីយ៍ ដើម្បីបិទការហៅទូរស័ព្ទទាំងអស់។
  • ការវាយប្រហារដោយសារឥតបានការ ផ្ញើការហៅទូរស័ព្ទជាច្រើនទៅកាន់ស្ថានីយ៍ដើម្បីកាន់កាប់ធនធានឥតគិតថ្លៃទាំងអស់របស់វា។

ទោះបីជាមានតម្រូវការជាក់ស្តែងក្នុងការលុបបំបាត់ភាពងាយរងគ្រោះដែលអាចកើតមានទាំងអស់ ដើម្បីកាត់បន្ថយលទ្ធភាពនៃការវាយប្រហារជាក់លាក់ក៏ដោយ តាមពិតការអនុវត្តវិធានការការពារមួយចំនួនត្រូវតែចាប់ផ្តើមដោយរៀបចំកាលវិភាគដែលគិតគូរពីការចំណាយនៃការអនុវត្តវិធានការការពារប្រឆាំងនឹងការគំរាមកំហែងជាក់លាក់មួយ។ និងការខាតបង់របស់សហគ្រាសពីការអនុវត្តការគំរាមកំហែងនេះដោយអ្នកវាយប្រហារ។ យ៉ាងណាមិញ វាជាការឆោតល្ងង់ក្នុងការចំណាយប្រាក់ច្រើនទៅលើសុវត្ថិភាពនៃទ្រព្យសកម្មជាងតម្លៃនៃទ្រព្យសកម្មដែលយើងកំពុងការពារ។
ដោយបានកំណត់ថវិកាសុវត្ថិភាព យើងនឹងចាប់ផ្តើមលុបបំបាត់ការគំរាមកំហែងដែលទំនងបំផុតសម្រាប់ក្រុមហ៊ុន ឧទាហរណ៍ សម្រាប់អង្គការតូចមួយ អ្វីដែលឈឺចាប់បំផុតគឺការទទួលបានវិក្កយបត្រធំសម្រាប់ការហៅទូរស័ព្ទពីចម្ងាយ និងអន្តរជាតិដែលមិនល្អឥតខ្ចោះ។ ខណៈពេលដែលក្រុមហ៊ុនសាធារណៈវាមានសារៈសំខាន់បំផុតក្នុងការថែរក្សាការសម្ងាត់នៃការសន្ទនា។ ចូរចាប់ផ្តើមការពិចារណាបន្តិចម្តង ៗ របស់យើងនៅក្នុងអត្ថបទបច្ចុប្បន្នជាមួយនឹងរឿងជាមូលដ្ឋាន - នេះគឺជាការផ្តល់ តាមរបៀបសុវត្ថិភាពការផ្តល់ទិន្នន័យសេវាពីស្ថានីយ៍ទៅទូរស័ព្ទ។ បន្ទាប់មក យើងនឹងពិចារណាលើការផ្ទៀងផ្ទាត់ទូរស័ព្ទ មុនពេលភ្ជាប់ពួកវាទៅស្ថានីយ ការផ្ទៀងផ្ទាត់ស្ថានីយពីទូរសព្ទ និងការអ៊ិនគ្រីបនៃចរាចរណ៍សញ្ញា (ដើម្បីលាក់ព័ត៌មានអំពីអ្នកដែលកំពុងហៅទូរសព្ទ និងកន្លែងណា) និងការអ៊ិនគ្រីបនៃចរាចរណ៍ការសន្ទនា។
ក្រុមហ៊ុនផលិតឧបករណ៍សំឡេងជាច្រើន (រួមទាំងប្រព័ន្ធ Cisco) មានឧបករណ៍សុវត្ថិភាពរួមបញ្ចូលគ្នារួចហើយ ចាប់ពីការដាក់កម្រិតធម្មតានៃជួរអាសយដ្ឋាន IP ដែលការហៅទូរសព្ទអាចត្រូវបានធ្វើឡើងរហូតដល់ការផ្ទៀងផ្ទាត់ឧបករណ៍បញ្ចប់ដោយប្រើវិញ្ញាបនបត្រ។ ឧទាហរណ៍ ក្រុមហ៊ុនផលិត Cisco Systems ជាមួយនឹងខ្សែផលិតផលសំឡេងរបស់ខ្លួន CUCM (Cisco Unified CallManager) បានចាប់ផ្តើមរួមបញ្ចូលមុខងារ "សុវត្ថិភាពតាមលំនាំដើម" ពីកំណែផលិតផល 8.0 (កាលបរិច្ឆេទចេញផ្សាយខែឧសភា ឆ្នាំ 2010; កំណែ 10.5 ចុះថ្ងៃទី 2014 ខែឧសភា អាចប្រើបាន)។ តើវារួមបញ្ចូលអ្វីខ្លះ៖

  • ការផ្ទៀងផ្ទាត់ឯកសារទាំងអស់ដែលបានទាញយកតាមរយៈ TFTP (ឯកសារកំណត់រចនាសម្ព័ន្ធ ឯកសារកម្មវិធីបង្កប់សម្រាប់ទូរស័ព្ទ។ល។)
  • ការអ៊ិនគ្រីបឯកសារកំណត់រចនាសម្ព័ន្ធ
  • ពិនិត្យវិញ្ញាបនបត្រដោយប្រើទូរស័ព្ទចាប់ផ្តើមការតភ្ជាប់ HTTPS

សូមក្រឡេកមើលឧទាហរណ៍នៃការវាយប្រហារ "បុរសកណ្តាល" នៅពេលដែលជនមិនស្របច្បាប់ស្ទាក់ចាប់ឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ទូរស័ព្ទ ដែលទូរស័ព្ទរៀនពីស្ថានីយ៍ណាដែលត្រូវចុះឈ្មោះជាមួយ ពិធីការណាដែលត្រូវដំណើរការ កម្មវិធីបង្កប់ដែលត្រូវទាញយក។ល។ ដោយបានស្ទាក់ចាប់ឯកសារ អ្នកវាយប្រហារនឹងអាចធ្វើការផ្លាស់ប្តូរដោយខ្លួនឯងចំពោះវា ឬលុបឯកសារកំណត់រចនាសម្ព័ន្ធទាំងស្រុង ដោយហេតុនេះការពារទូរស័ព្ទរបស់ការិយាល័យទាំងមូល (សូមមើលរូបភាព) ពីការចុះឈ្មោះនៅស្ថានីយ៍ ហើយជាលទ្ធផល ការដកហូតការិយាល័យរបស់ សមត្ថភាពក្នុងការហៅទូរស័ព្ទ។

រូបភាពទី 1 ការវាយប្រហារដោយបុរសនៅកណ្តាល

ដើម្បីការពារប្រឆាំងនឹងបញ្ហានេះ យើងនឹងត្រូវការចំណេះដឹងនៃការអ៊ិនគ្រីប asymmetric ហេដ្ឋារចនាសម្ព័ន្ធ សោសាធារណៈនិងគំនិតអំពីធាតុផ្សំនៃសុវត្ថិភាពតាមលំនាំដើម ដែលឥឡូវនេះយើងនឹងស្គាល់ជាមួយ៖ បញ្ជីទំនុកចិត្ត (ITL) និងសេវាកម្មផ្ទៀងផ្ទាត់ទំនុកចិត្ត (TVS) ។ TVS គឺជាសេវាកម្មដែលត្រូវបានរចនាឡើងដើម្បីដំណើរការសំណើពីទូរស័ព្ទ IP ដែលមិនមានឯកសារ ITL ឬ CTL នៅក្នុងអង្គចងចាំខាងក្នុង។ ទូរសព្ទ IP ទាក់ទង TVS ប្រសិនបើ​វា​ត្រូវ​ការ​ប្រាកដ​ថា​តើ​វា​អាច​ទុក​ចិត្ត​លើ​សេវា​ជាក់លាក់​មួយ​ដែរ​ឬ​អត់ មុន​នឹង​ចាប់​ផ្ដើម​ចូល​ប្រើ​វា។ ស្ថានីយ៍ក៏ដើរតួជាឃ្លាំងផ្ទុកវិញ្ញាបនបត្រនៃម៉ាស៊ីនមេដែលទុកចិត្តផងដែរ។ នៅក្នុងវេន ITL គឺជាបញ្ជីនៃកូនសោសាធារណៈនៃធាតុស្ថានីយដែលបង្កើតជាចង្កោម ប៉ុន្តែវាមានសារៈសំខាន់សម្រាប់យើងដែលសោសាធារណៈរបស់ម៉ាស៊ីនមេ TFTP និងសោសាធារណៈនៃសេវា TVS ត្រូវបានរក្សាទុកនៅទីនោះ។ នៅពេលដែលទូរស័ព្ទចាប់ផ្តើមដំណើរការដំបូង នៅពេលដែលទូរស័ព្ទបានទទួលអាសយដ្ឋាន IP និងអាសយដ្ឋានម៉ាស៊ីនមេ TFTP វាស្នើសុំវត្តមាននៃឯកសារ ITL (រូបភាព 2) ។ ប្រសិនបើវាស្ថិតនៅលើម៉ាស៊ីនមេ TFTP នោះ ការជឿទុកចិត្តដោយខ្វាក់ភ្នែក វាផ្ទុកវាទៅរបស់វា។ អង្គចងចាំខាងក្នុងនិងរក្សាទុករហូតដល់ការចាប់ផ្តើមឡើងវិញបន្ទាប់។ បន្ទាប់ពីទាញយកឯកសារ ITL ទូរស័ព្ទស្នើសុំឯកសារកំណត់រចនាសម្ព័ន្ធដែលបានចុះហត្ថលេខា។

ឥឡូវនេះសូមមើលពីរបៀបដែលយើងអាចប្រើឧបករណ៍គ្រីប - ការចុះហត្ថលេខាលើឯកសារដោយប្រើមុខងារ MD5 ឬ SHA hash និងការអ៊ិនគ្រីបដោយប្រើសោឯកជននៃម៉ាស៊ីនមេ TFTP (រូបភាព 3) ។ អ្វីដែលពិសេសអំពីមុខងារ hash គឺថាពួកវាជាមុខងារមួយផ្លូវ។ ដោយផ្អែកលើ hash ដែលទទួលបានពីឯកសារណាមួយ វាមិនអាចទៅរួចទេក្នុងការធ្វើប្រតិបត្តិការបញ្ច្រាស និងទទួលបានឯកសារដើមពិតប្រាកដ។ នៅពេលដែលឯកសារត្រូវបានផ្លាស់ប្តូរ សញ្ញាដែលទទួលបានពីឯកសារនេះក៏ផ្លាស់ប្តូរផងដែរ។ វាគួរឱ្យកត់សម្គាល់ថា hash មិនត្រូវបានសរសេរទៅឯកសារដោយខ្លួនឯងនោះទេប៉ុន្តែត្រូវបានបន្ថែមទៅវាដោយសាមញ្ញហើយបញ្ជូនជាមួយវា។

Fig.3 ការចុះហត្ថលេខាលើឯកសារកំណត់រចនាសម្ព័ន្ធទូរស័ព្ទ

នៅពេលបង្កើតហត្ថលេខា ឯកសារកំណត់រចនាសម្ព័ន្ធខ្លួនវាត្រូវបានយក ហាសត្រូវបានស្រង់ចេញពីវា និងអ៊ិនគ្រីប សោឯកជនម៉ាស៊ីនមេ TFTP (ដែលមានតែម៉ាស៊ីនមេ TFTP) ។
នៅពេលទទួលបានឯកសារកំណត់នេះ ទូរសព្ទនឹងពិនិត្យវាជាមុនសិន ដើម្បីភាពសុចរិត។ យើងចាំថា hash គឺជាមុខងារមួយផ្លូវ ដូច្នេះទូរសព្ទមិនមានអ្វីត្រូវធ្វើក្រៅពីបំបែក hash ដែលបានអ៊ិនគ្រីបដោយម៉ាស៊ីនមេ TFTP ពីឯកសារកំណត់រចនាសម្ព័ន្ធ ឌិគ្រីបវាដោយប្រើសោសាធារណៈ TFTP (ហើយតើទូរស័ព្ទ IP ដឹងវាដោយរបៀបណា ? - ហើយគ្រាន់តែពីឯកសារ ITL ) ពីឯកសារកំណត់រចនាសម្ព័ន្ធស្អាត គណនាសញ្ញា និងប្រៀបធៀបវាជាមួយអ្វីដែលយើងបានទទួលកំឡុងពេលឌិគ្រីប។ ប្រសិនបើ hash ផ្គូផ្គង វាមានន័យថាមិនមានការផ្លាស់ប្តូរណាមួយទៅលើឯកសារកំឡុងពេលបញ្ជូនទេ ហើយវាអាចប្រើប្រាស់បានដោយសុវត្ថិភាពនៅលើទូរស័ព្ទ (រូបភាពទី 4)។

Fig.4 ពិនិត្យឯកសារកំណត់រចនាសម្ព័ន្ធជាមួយទូរស័ព្ទ IP

ឯកសារកំណត់រចនាសម្ព័ន្ធដែលបានចុះហត្ថលេខាសម្រាប់ទូរសព្ទត្រូវបានបង្ហាញខាងក្រោម៖

អង្ករ។ 5 បានចុះហត្ថលេខាលើឯកសារទូរស័ព្ទ IP នៅក្នុង Wireshark

តាមរយៈការចុះហត្ថលេខាលើឯកសារកំណត់រចនាសម្ព័ន្ធ យើងអាចធានាបាននូវភាពត្រឹមត្រូវនៃឯកសារការកំណត់ដែលបានផ្ទេរ ប៉ុន្តែយើងមិនបានការពារវាពីការមើលនោះទេ។ អ្នកអាចទទួលបានច្រើនពីឯកសារកំណត់រចនាសម្ព័ន្ធដែលបានចាប់យក ព័ត៌មានមានប្រយោជន៍ឧទាហរណ៍អាសយដ្ឋាន ip ការផ្លាស់ប្តូរទូរស័ព្ទ(ក្នុងឧទាហរណ៍របស់យើងនេះគឺ 192.168.1.66) និង ច្រកបើកនៅស្ថានីយ៍ (2427) ។ល។ តើវាមិនមែនជាព័ត៌មានសំខាន់ដែលអ្នកមិនចង់គ្រាន់តែ "ចែងចាំង" នៅលើអ៊ីនធឺណិតទេ? ដើម្បីលាក់ព័ត៌មាននេះ អ្នកផលិតផ្តល់នូវការប្រើប្រាស់ការអ៊ិនគ្រីបស៊ីមេទ្រី (សោដូចគ្នាត្រូវបានប្រើសម្រាប់ការអ៊ិនគ្រីប និងការឌិគ្រីប)។ ក្នុងករណីមួយ សោអាចត្រូវបានបញ្ចូលទៅក្នុងទូរស័ព្ទដោយដៃ ក្នុងករណីមួយផ្សេងទៀត ឯកសារកំណត់រចនាសម្ព័ន្ធរបស់ទូរសព្ទត្រូវបានអ៊ិនគ្រីបនៅស្ថានីយដោយប្រើសោសាធារណៈរបស់ទូរសព្ទ។ មុនពេលផ្ញើឯកសារទៅទូរស័ព្ទ ម៉ាស៊ីនមេ tftp ដែលឯកសារនេះត្រូវបានរក្សាទុក អ៊ិនគ្រីបវាដោយប្រើសោសាធារណៈរបស់ទូរសព្ទ ហើយចុះហត្ថលេខាលើវាដោយប្រើសោឯកជនរបស់វា (ដូច្នេះយើងធានាមិនត្រឹមតែសម្ងាត់ប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានភាពត្រឹមត្រូវផងដែរ។ ឯកសារដែលបានផ្ទេរ) ចំណុចសំខាន់នៅទីនេះគឺមិនត្រូវច្រឡំថាអ្នកណាកំពុងប្រើសោមួយណាទេ ប៉ុន្តែសូមយកវាតាមលំដាប់លំដោយ៖ ម៉ាស៊ីនមេ tftp ដោយការអ៊ិនគ្រីបឯកសារដោយប្រើសោសាធារណៈនៃទូរស័ព្ទ IP ធានាថាមានតែម្ចាស់សោសាធារណៈដែលបានផ្គូផ្គងប៉ុណ្ណោះ។ អាចបើកឯកសារនេះ។ ដោយចុះហត្ថលេខាលើឯកសារដោយប្រើសោឯកជនរបស់វា ម៉ាស៊ីនមេ tftp បញ្ជាក់ថាវាគឺជាអ្នកដែលបានបង្កើតវា។ ឯកសារដែលបានអ៊ិនគ្រីបត្រូវបានបង្ហាញក្នុងរូបភាពទី 6៖

Fig.6 ឯកសារទូរស័ព្ទ IP ដែលបានអ៊ិនគ្រីប

ដូច្នេះនៅចំណុចនេះ យើងបានពិនិត្យមើលការការពារឯកសារកំណត់រចនាសម្ព័ន្ធទូរស័ព្ទរបស់យើងពីការមើល និងធានានូវភាពត្រឹមត្រូវរបស់វា។ នេះគឺជាកន្លែងដែលមុខងារសុវត្ថិភាពតាមលំនាំដើមបញ្ចប់។ ដើម្បីធានាបាននូវការអ៊ិនគ្រីបនៃចរាចរណ៍សំឡេង និងការលាក់ព័ត៌មានសញ្ញា (អំពីអ្នកដែលកំពុងហៅទូរសព្ទ និងកន្លែងដែលពួកគេកំពុងហៅ) ឧបករណ៍បន្ថែមគឺត្រូវការដោយផ្អែកលើបញ្ជីនៃវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន - CTL ដែលយើងនឹងពិចារណាបន្ថែមទៀត។

ការផ្ទៀងផ្ទាត់ការផ្លាស់ប្តូរទូរស័ព្ទ

នៅពេលដែលទូរស័ព្ទត្រូវការទំនាក់ទំនងជាមួយការផ្លាស់ប្តូរទូរស័ព្ទ (ឧទាហរណ៍ ដើម្បីចរចាការតភ្ជាប់ TLS សម្រាប់ការផ្លាស់ប្តូរសញ្ញា) ទូរស័ព្ទ IP ត្រូវការផ្ទៀងផ្ទាត់ការផ្លាស់ប្តូរ។ ដូចដែលអ្នកអាចទាយបាន វិញ្ញាបនបត្រក៏ត្រូវបានគេប្រើយ៉ាងទូលំទូលាយដើម្បីដោះស្រាយបញ្ហានេះផងដែរ។ នៅពេលនេះ ស្ថានីយ៍ IP ទំនើបមានធាតុមួយចំនួនធំ៖ ម៉ាស៊ីនមេផ្តល់សញ្ញាជាច្រើនសម្រាប់ដំណើរការការហៅទូរសព្ទ ម៉ាស៊ីនមេគ្រប់គ្រងដែលខិតខំប្រឹងប្រែង (ទូរស័ព្ទថ្មី អ្នកប្រើប្រាស់ ច្រកផ្លូវ ច្បាប់នាំផ្លូវ។ល។ ត្រូវបានបន្ថែមតាមរយៈវា) ម៉ាស៊ីនមេ TFTP ឧទ្ទិសសម្រាប់ ការរក្សាទុកឯកសារកំណត់រចនាសម្ព័ន្ធ និងកម្មវិធីសម្រាប់ទូរស័ព្ទ ម៉ាស៊ីនមេសម្រាប់ចាក់ផ្សាយតន្ត្រីដែលផ្អាក។ល។ បន្ថែមពីលើនេះ ហេដ្ឋារចនាសម្ព័ន្ធសំឡេងអាចមាន សារជាសំឡេង, ម៉ាស៊ីនមេសម្រាប់កំណត់ស្ថានភាពបច្ចុប្បន្នរបស់អ្នកជាវ (អនឡាញ ក្រៅបណ្តាញ "នៅពេលអាហារថ្ងៃត្រង់") - បញ្ជីគឺគួរអោយចាប់អារម្មណ៍ ហើយសំខាន់បំផុត ម៉ាស៊ីនមេនីមួយៗមានវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង ហើយនីមួយៗធ្វើការជាអាជ្ញាធរបញ្ជាក់ឫសគល់ (រូបភាពទី 2) ។ ៧). សម្រាប់ហេតុផលនេះ ម៉ាស៊ីនមេណាមួយនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំឡេងនឹងមិនជឿទុកចិត្តលើវិញ្ញាបនបត្ររបស់ម៉ាស៊ីនមេផ្សេងទៀតទេ ឧទាហរណ៍ ម៉ាស៊ីនមេសំឡេងមិនទុកចិត្តម៉ាស៊ីនមេ TFTP សារជាសំឡេងមិនទុកចិត្តម៉ាស៊ីនមេបញ្ជូនសញ្ញា ហើយក្រៅពីនេះ ទូរសព្ទត្រូវតែរក្សាទុកវិញ្ញាបនបត្ររបស់ ធាតុទាំងអស់ដែលចូលរួមក្នុងការផ្លាស់ប្តូរសញ្ញាចរាចរណ៍។ វិញ្ញាបនបត្រផ្លាស់ប្តូរទូរស័ព្ទត្រូវបានបង្ហាញក្នុងរូបភាពទី 7 ។

Fig.7 វិញ្ញាបនបត្រ Cisco IP ដែលចុះហត្ថលេខាដោយខ្លួនឯង

សម្រាប់កិច្ចការនៃការបង្កើតទំនាក់ទំនងការជឿទុកចិត្តរវាងធាតុដែលបានពិពណ៌នាខាងលើនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំឡេង ក៏ដូចជាការអ៊ិនគ្រីបសំឡេង និងសញ្ញាចរាចរណ៍ អ្វីដែលគេហៅថា Certificate Trust List (CTL) ត្រូវបានចូលជាធរមាន។ CTL មានវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងទាំងអស់នៃម៉ាស៊ីនមេទាំងអស់នៅក្នុងចង្កោមស្ថានីយ៍សំឡេង ក៏ដូចជាអ្នកដែលចូលរួមក្នុងការផ្លាស់ប្តូរសារផ្តល់សញ្ញាតាមទូរស័ព្ទ (ឧទាហរណ៍ ជញ្ជាំងភ្លើង) ហើយឯកសារនេះត្រូវបានចុះហត្ថលេខាដោយសោឯកជនរបស់អាជ្ញាធរបញ្ជាក់ដែលអាចទុកចិត្តបាន។ (រូបភាពទី 8) ។ ឯកសារ CTL គឺស្មើនឹងវិញ្ញាបនបត្រដែលបានដំឡើង ដែលត្រូវបានប្រើនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត នៅពេលធ្វើការជាមួយពិធីការ https ។

Fig.8 បញ្ជីវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន។

ដើម្បីបង្កើតឯកសារ CTL នៅលើឧបករណ៍ Cisco អ្នកនឹងត្រូវការកុំព្យូទ័រដែលមានឧបករណ៍ភ្ជាប់ USB កម្មវិធីអតិថិជន CTL ដែលបានដំឡើងនៅលើវា និង Site Administrator Security Token (SAST) ខ្លួនឯង (រូបភាពទី 9) ដែលមានសោឯកជន និង វិញ្ញាបនបត្រ X.509v3 ចុះហត្ថលេខាដោយក្រុមហ៊ុនផលិតមជ្ឈមណ្ឌលផ្ទៀងផ្ទាត់ (ស៊ីស្កូ) ។

រូបភាពទី 9 eToken Cisco

ម៉ាស៊ីនភ្ញៀវ CTL គឺជាកម្មវិធីមួយដែលត្រូវបានដំឡើងនៅលើ Windows PC ហើយដែលអ្នកអាចផ្ទេរការផ្លាស់ប្តូរទូរស័ព្ទទាំងមូលទៅជារបៀបចម្រុះ នោះគឺជារបៀបចម្រុះដែលគាំទ្រការចុះឈ្មោះឧបករណ៍បញ្ចប់នៅក្នុងរបៀបសុវត្ថិភាព និងគ្មានសុវត្ថិភាព។ យើងបើកដំណើរការអតិថិជន បញ្ជាក់អាសយដ្ឋាន IP នៃការផ្លាស់ប្តូរទូរស័ព្ទ បញ្ចូលការចូល/ពាក្យសម្ងាត់របស់អ្នកគ្រប់គ្រង ហើយអតិថិជន CTL បង្កើតការតភ្ជាប់ TCP នៅលើច្រក 2444 ជាមួយស្ថានីយ (រូបភាព 10)។ បន្ទាប់ពីនេះ សកម្មភាពពីរនឹងត្រូវបានផ្តល់ជូន៖

Fig.10 អតិថិជន Cisco CTL

បន្ទាប់ពីបង្កើតឯកសារ CTL អ្វីៗដែលនៅសេសសល់គឺត្រូវចាប់ផ្តើមម៉ាស៊ីនមេ TFTP ឡើងវិញដើម្បីឱ្យពួកគេទាញយកឯកសារ CTL ដែលបានបង្កើតថ្មី ហើយបន្ទាប់មកចាប់ផ្ដើមម៉ាស៊ីនមេសំឡេងឡើងវិញដើម្បីឱ្យទូរស័ព្ទ IP ចាប់ផ្ដើមឡើងវិញ និងទាញយកឯកសារ CTL ថ្មី (32 គីឡូបៃ) ។ ឯកសារ CTL ដែលបានទាញយកអាចត្រូវបានមើលពីការកំណត់ទូរស័ព្ទ IP (រូបភាព 11)

រូបភាពទី 11 ឯកសារ CTL នៅលើទូរស័ព្ទ IP

ការផ្ទៀងផ្ទាត់ចំណុចបញ្ចប់

ដើម្បីធានាថាមានតែចំណុចបញ្ចប់ដែលអាចទុកចិត្តបានត្រូវបានភ្ជាប់ និងចុះឈ្មោះ ការផ្ទៀងផ្ទាត់ឧបករណ៍ត្រូវតែអនុវត្ត។ ក្នុងករណីនេះ ក្រុមហ៊ុនផលិតជាច្រើនប្រើវិធីសាស្រ្តដែលបានបញ្ជាក់រួចហើយ - ការផ្ទៀងផ្ទាត់ឧបករណ៍ដោយប្រើវិញ្ញាបនបត្រ (រូបភាព 12) ។ ឧទាហរណ៍ នៅក្នុងស្ថាបត្យកម្មសំឡេង Cisco នេះត្រូវបានអនុវត្តដូចខាងក្រោម៖ មានវិញ្ញាបនបត្រពីរប្រភេទសម្រាប់ការផ្ទៀងផ្ទាត់ជាមួយនឹងសោសាធារណៈ និងឯកជនដែលត្រូវគ្នា ដែលត្រូវបានរក្សាទុកនៅលើទូរសព្ទ៖
វិញ្ញាបនបត្រដែលបានដំឡើងដោយក្រុមហ៊ុនផលិត - (MIC) ។ វិញ្ញាបនបត្រដែលបានដំឡើងដោយក្រុមហ៊ុនផលិតមានកូនសោ 2048 ប៊ីត ដែលត្រូវបានចុះហត្ថលេខាដោយអាជ្ញាធរវិញ្ញាបនប័ត្ររបស់អ្នកផលិត (ស៊ីស្កូ) ។ វិញ្ញាបនបត្រនេះមិនត្រូវបានដំឡើងនៅលើម៉ូដែលទូរស័ព្ទទាំងអស់ទេ ហើយប្រសិនបើវាត្រូវបានដំឡើង នោះមិនចាំបាច់មានវិញ្ញាបនបត្រផ្សេងទៀត (LSC) ទេ។
Locally Significant Certificate – (LSC) វិញ្ញាបនបត្រសំខាន់ក្នុងស្រុកមានសោសាធារណៈនៃទូរស័ព្ទ IP ដែលត្រូវបានចុះហត្ថលេខាដោយសោឯកជននៃមជ្ឈមណ្ឌលផ្ទៀងផ្ទាត់មូលដ្ឋាន ដែលដំណើរការលើការផ្លាស់ប្តូរទូរស័ព្ទដោយខ្លួនឯង មុខងារប្រូកស៊ីអាជ្ញាធរវិញ្ញាបនបត្រ (CAPF) ។
ដូច្នេះប្រសិនបើយើងមានទូរស័ព្ទដែលមានវិញ្ញាបនបត្រ MIC ដែលបានដំឡើងជាមុន នោះរាល់ពេលដែលទូរស័ព្ទចុះឈ្មោះជាមួយស្ថានីយ៍ ស្ថានីយ៍នឹងស្នើសុំវិញ្ញាបនបត្រដែលបានដំឡើងជាមុនដោយក្រុមហ៊ុនផលិតសម្រាប់ការផ្ទៀងផ្ទាត់។ ទោះយ៉ាងណាក៏ដោយ ប្រសិនបើ MIC ត្រូវបានសម្របសម្រួល ការជំនួសវាតម្រូវឱ្យទាក់ទងមជ្ឈមណ្ឌលបញ្ជាក់របស់អ្នកផលិត ដែលអាចត្រូវការពេលវេលាច្រើន។ ដើម្បីកុំឱ្យអាស្រ័យលើពេលវេលាឆ្លើយតបរបស់អាជ្ញាធរវិញ្ញាបនបត្ររបស់ក្រុមហ៊ុនផលិតក្នុងការចេញវិញ្ញាបនបត្រទូរស័ព្ទដែលសម្របសម្រួលឡើងវិញ វាជាការប្រសើរក្នុងការប្រើវិញ្ញាបនបត្រក្នុងស្រុក។

រូបភាពទី 12 វិញ្ញាបនបត្រសម្រាប់ការផ្ទៀងផ្ទាត់ឧបករណ៍បញ្ចប់

តាមលំនាំដើម វិញ្ញាបនបត្រ LSC មិនត្រូវបានដំឡើងនៅលើទូរសព្ទ IP ទេ ហើយការដំឡើងរបស់វាអាចត្រូវបានធ្វើដោយប្រើវិញ្ញាបនបត្រ MIB (ប្រសិនបើមាន) ឬតាមរយៈការតភ្ជាប់ TLS (សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន) ដោយប្រើសោសាធារណៈដែលបានចែករំលែកដែលបង្កើតដោយដៃដោយអ្នកគ្រប់គ្រងនៅឯ ស្ថានីយ៍ហើយចូលតាមទូរស័ព្ទ។
ដំណើរការនៃការដំឡើងវិញ្ញាបនបត្រសំខាន់ក្នុងស្រុក (LSC) នៅលើទូរសព្ទដែលមានសោសាធារណៈរបស់ទូរសព្ទដែលចុះហត្ថលេខាដោយអាជ្ញាធរបញ្ជាក់ក្នុងស្រុកត្រូវបានបង្ហាញក្នុងរូបភាពទី 13៖

Fig.13 ដំណើរការដំឡើងវិញ្ញាបនបត្រ LSC ដែលមានសុពលភាពក្នុងមូលដ្ឋាន

1. បន្ទាប់ពីផ្ទុកទូរស័ព្ទ IP វាស្នើសុំបញ្ជីវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន (ឯកសារ CTL) និងឯកសារកំណត់រចនាសម្ព័ន្ធ
2. ស្ថានីយ៍បញ្ជូនឯកសារដែលបានស្នើសុំ
3. ពីការកំណត់ដែលបានទទួល ទូរស័ព្ទកំណត់ថាតើវាត្រូវការទាញយកវិញ្ញាបនបត្រសំខាន់ៗក្នុងស្រុក (LSC) ពីស្ថានីយ៍ឬអត់
4. ប្រសិនបើយើងនៅស្ថានីយ៍បានបង្កើតឡើងសម្រាប់ទូរស័ព្ទដើម្បីដំឡើងវិញ្ញាបនបត្រ LSC (សូមមើលខាងក្រោម) ដែលស្ថានីយ៍នឹងប្រើដើម្បីផ្ទៀងផ្ទាត់ទូរស័ព្ទ IP នេះ នោះយើងត្រូវតែប្រាកដថាតាមការស្នើសុំដើម្បីចេញវិញ្ញាបនបត្រ LSC នោះស្ថានីយ៍ ចេញ​ទៅ​មនុស្ស​ដែល​វា​មាន​បំណង។ សម្រាប់គោលបំណងទាំងនេះ យើងអាចប្រើវិញ្ញាបនបត្រ MIC (ប្រសិនបើមាន) បង្កើតពាក្យសម្ងាត់តែមួយដងសម្រាប់ទូរសព្ទនីមួយៗ ហើយបញ្ចូលវាដោយដៃនៅលើទូរសព្ទ ឬមិនប្រើការអនុញ្ញាតទាល់តែសោះ។
ឧទាហរណ៍បង្ហាញពីដំណើរការនៃការដំឡើង LSC ដោយប្រើឧបករណ៍ដែលបានបង្កើត

ដំណើរការដោយ SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

លេខកូដវគ្គសិក្សា BT19, 2 ថ្ងៃ។

ស្ថានភាព

ចំណារពន្យល់

វគ្គសិក្សាគឺផ្តោតលើបញ្ហាស្មុគស្មាញនៃការវិភាគសុវត្ថិភាព និងធានាសុវត្ថិភាពនៃទូរស័ព្ទ IP (Voice over IP (VoIP) - ប្រព័ន្ធទំនាក់ទំនងដែលធានាការបញ្ជូនសញ្ញាសំឡេងតាមអ៊ីនធឺណិត ឬបណ្តាញ IP ផ្សេងទៀត) វិធីសាស្រ្តទំនើបដល់ការសាងសង់ហេដ្ឋារចនាសម្ព័ន្ធទូរស័ព្ទ IP និងការការពារ ភាពងាយរងគ្រោះ និងការវាយប្រហារលើសមាសធាតុរបស់វា។ ការយកចិត្តទុកដាក់ពិសេសផ្តោតលើប្រព័ន្ធត្រួតពិនិត្យ និងវិធីសាស្រ្តសម្រាប់ការវិភាគសុវត្ថិភាពបណ្តាញ VoIP ។

ច្រើនជាង 50% នៃពេលវេលាបណ្តុះបណ្តាលត្រូវបានឧទ្ទិសដល់ការងារជាក់ស្តែងលើការវិភាគសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធនៃសមាសធាតុ VoIP ស្របតាមតម្រូវការសុវត្ថិភាពរបស់ទាំងអង្គការ និងសហគ្រាសតូចៗដែលមានបណ្តាញសាខាដែលបានអភិវឌ្ឍ និងអ្នកប្រើប្រាស់ចែកចាយតាមភូមិសាស្រ្ត។

វគ្គសិក្សានេះប្រើប្រាស់សម្ភារ និងអនុសាសន៍ពីអង្គការអន្តរជាតិដែលមានជំនាញក្នុងវិស័យសន្តិសុខព័ត៌មាន ដូចជាវិទ្យាស្ថានស្តង់ដារទូរគមនាគមន៍អឺរ៉ុប (ETSI) សហភាពទូរគមនាគមន៍អន្តរជាតិ (ITU) សម្ព័ន្ធសន្តិសុខ Voice over IP (VOIPSA) និងកម្មវិធីជាច្រើនទៀត។

បច្ចេកវិទ្យានិម្មិតរបស់ម៉ាស៊ីនមេ និងស្ថានីយការងារដែលប្រើក្នុងដំណើរការបណ្តុះបណ្តាលអនុញ្ញាតឱ្យអ្នកឯកទេសនីមួយៗអនុវត្តការងារជាក់ស្តែងលើបណ្តាញ VoIP នីមួយៗ។ ការងារជាក្រុមអ្នកឯកទេសត្រូវបានអនុវត្តដោយប្រើកម្មវិធីនិងសូហ្វវែរ - ទូរស័ព្ទផ្នែករឹង។

ទស្សនិកជន៖

  • អ្នកគ្រប់គ្រងប្រព័ន្ធ និងបណ្តាញទទួលខុសត្រូវចំពោះប្រតិបត្តិការកម្មវិធី VoIP
  • អ្នកគ្រប់គ្រងសន្តិសុខព័ត៌មាន
  • អ្នកជំនាញនិងអ្នកវិភាគលើបញ្ហា សុវត្ថិភាពកុំព្យូទ័រទទួលខុសត្រូវក្នុងការវិភាគស្ថានភាពសុវត្ថិភាពព័ត៌មាន កំណត់តម្រូវការសម្រាប់សុវត្ថិភាពនៃធនធានបណ្តាញ និងការការពារប្រឆាំងនឹងការលេចធ្លាយព័ត៌មានសម្ងាត់តាមរយៈបណ្តាញបច្ចេកទេស។

ការរៀបចំបឋម

  • ចំណេះដឹងជាមូលដ្ឋាននៃបណ្តាញ IP ពិធីការមូលដ្ឋាន និងសេវាកម្មជង់ TCP/IP
  • ជំនាញក្នុងការធ្វើការជាមួយ Windows 2003/2008 និងលីនុច

អ្នកអាចសាកល្បងចំណេះដឹងរបស់អ្នកអំពីពិធីការជង់ TCP/IP ដោយស្នើសុំការធ្វើតេស្តដោយខ្លួនឯងពីមជ្ឈមណ្ឌលសិក្សា។

  • BT05 ""
  • BT03 ""

នៅពេលបញ្ចប់ការបណ្តុះបណ្តាល

អ្នកនឹងទទួលបានចំណេះដឹង៖

  • អំពីយន្តការទំនើប និងមធ្យោបាយការពារបណ្តាញ VoIP
  • អំពីភាពងាយរងគ្រោះនៃពិធីការ និងសេវាកម្ម VoIP៖ SIP, H.323, RTP
  • លើការប្រើប្រាស់ពិធីការសុវត្ថិភាព TLS, SRTP

អ្នកនឹងអាច៖

  • ប្រើឧបករណ៍វិភាគបណ្តាញដើម្បីតាមដានចរាចរណ៍
  • វិភាគសុវត្ថិភាពនៃបណ្តាញ VoIP
  • ធានានូវប្រតិបត្តិការប្រកបដោយសុវត្ថិភាពនៃទូរស័ព្ទ IP និងសន្និសីទ

កញ្ចប់អ្នកស្តាប់

  • សៀវភៅណែនាំបណ្តុះបណ្តាលម៉ាក
  • កំណែនៃវិធានការសុវត្ថិភាពសំខាន់ៗដែលបានពិភាក្សានៅក្នុងវគ្គសិក្សា បន្ថែម និង ព័ត៌មានផ្ទៃខាងក្រោយលើប្រធានបទនៃវគ្គសិក្សាជាទម្រង់អេឡិចត្រូនិច

បន្ថែម

បន្ទាប់ពីឆ្លងកាត់ការសាកល្បងដោយជោគជ័យ និស្សិតដែលបញ្ចប់ការសិក្សាទទួលបានវិញ្ញាបនបត្របណ្តុះបណ្តាលពីមជ្ឈមណ្ឌលបណ្តុះបណ្តាល Informzashita ។

និស្សិតបញ្ចប់ការសិក្សានៃមជ្ឈមណ្ឌលបណ្តុះបណ្តាលអាចទទួលបាន ការពិគ្រោះយោបល់ដោយឥតគិតថ្លៃមជ្ឈមណ្ឌលអ្នកឯកទេសក្នុងក្របខ័ណ្ឌនៃវគ្គសិក្សាដែលបានបញ្ចប់។

កម្មវិធីវគ្គសិក្សា

  • គោលគំនិត និងនិយមន័យជាមូលដ្ឋាននៃ VoIP ។វាក្យសព្ទ។ ស្ថាបត្យកម្ម VoIP និងសមាសធាតុរបស់វា។ គុណភាពនៃការបញ្ជូនព័ត៌មានការនិយាយ។ កូឌិក។
  • ពិធីការ VoIP មូលដ្ឋាន។ស្ថាបត្យកម្ម។ ការវិភាគនៃពិធីការ VoIP ។ ឧបករណ៍វិភាគបណ្តាញ Wireshark ។
  • ភាពងាយរងគ្រោះ និងការវាយប្រហារលើ VoIP ។ចំណាត់ថ្នាក់នៃភាពងាយរងគ្រោះ IP telephony ។
  • សារពើភ័ណ្ឌបណ្តាញ VoIP ។សារពើភ័ណ្ឌនៃកម្មវិធី VoIP ។ សារពើភ័ណ្ឌអ្នកប្រើប្រាស់។
  • ការស្ទាក់ចាប់ចរាចរ VoIP. ការបំពានផ្លូវ។ ការវាយប្រហារដោយបុរសនៅកណ្តាល។
  • ឧបាយកលនៅក្នុងប្រព័ន្ធ VoIP ។ការលុបការចុះឈ្មោះអ្នកជាវ។ ការចុះឈ្មោះគ្មានការអនុញ្ញាត។ ការរារាំងការចុះឈ្មោះ។
  • ការវាយប្រហារលើពិធីការចរាចរណ៍ពេលវេលាពិត RTP (ពិធីការពេលវេលាពិត) ។ការលាយសញ្ញានៃការនិយាយ។
  • សារឥតបានការនៅក្នុងបណ្តាញ VoIP ។រៀបចំសារឥតបានការដោយប្រើសញ្ញាផ្កាយ។
  • យន្តការសម្រាប់ធានាសុវត្ថិភាពនៃទូរស័ព្ទ IP ។កម្រិតនៃហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មាននៃបណ្តាញសាជីវកម្ម។ គំនិត​ការពារ​ក្នុង​ជម្រៅ។ ការពិនិត្យឡើងវិញនូវយន្តការ និងមធ្យោបាយការពារបណ្តាញ។
  • រៀបចំផែនការហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញទូរស័ព្ទ IP សុវត្ថិភាព។ការជ្រើសរើសទីតាំងរបស់ម៉ាស៊ីនមេ VoIP នៅលើបណ្តាញ។ សន្តិសុខ សុវត្ថិភាពបណ្តាញម៉ាស៊ីនមេ VoIP ។ ការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង។ ការប្រើប្រាស់ប្រព័ន្ធការពារការវាយប្រហារ។ ការដំឡើងឧបករណ៍បណ្តាញ។
  • ការវិភាគសុវត្ថិភាព VoIP ។វិធីសាស្រ្ត។ ប្រព័ន្ធវិភាគសុវត្ថិភាព។ ជម្រើសចំណាត់ថ្នាក់។ ស្ថាបត្យកម្ម និងគោលការណ៍ប្រតិបត្តិការនៃម៉ាស៊ីនស្កេន។ កម្មវិធី SiVuS (SIP Vulnerability Scanner) ។
  • ការការពារការគ្រីបនៅក្នុងបណ្តាញ VoIP ។វិធីសាស្រ្តសម្ងាត់នៃការការពារព័ត៌មាន។ បណ្តាញឯកជននិម្មិត។ គោលការណ៍ទូទៅ បង្កើត VPN. ការគ្រប់គ្រងគន្លឹះ។ គំរូហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗសាធារណៈ។ ទម្រង់វិញ្ញាបនបត្រសោសាធារណៈ X.509 ។ ការប្រើប្រាស់ TLS (សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន), SRTP (ពិធីសារដឹកជញ្ជូនពេលវេលាជាក់ស្តែង)។ ការដំឡើងសញ្ញាផ្កាយ។
  • ស្មុគស្មាញការអ៊ិនគ្រីបផ្នែករឹង និងសូហ្វវែរ "ទ្វីប" ។ការបង្កើត VPN ដោយផ្អែកលើ APKSH "ទ្វីប" ។ កម្មវិធី APKSH "ទ្វីប" សម្រាប់ការការពារ VoIP ។
  • ម៉ាស៊ីនបម្រើទំនាក់ទំនងការិយាល័យ។ស្ថាបត្យកម្ម។ ករណីប្រើប្រាស់។ ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេទំនាក់ទំនងការិយាល័យ។

ចំណាត់ថ្នាក់ចុងក្រោយ



អត្ថបទដែលទាក់ទង

តើធ្វើដូចម្តេចដើម្បីផ្លាស់ប្តូរប្រេកង់នៃឡានដែលគ្រប់គ្រងដោយវិទ្យុ?
វីនដូ 7

តើធ្វើដូចម្តេចដើម្បីផ្លាស់ប្តូរប្រេកង់នៃឡានដែលគ្រប់គ្រងដោយវិទ្យុ?

គំនិតនៃព័ត៌មាន ការបកស្រាយផ្សេងៗរបស់វា។
ក្តារបន្ទះ

គំនិតនៃព័ត៌មាន ការបកស្រាយផ្សេងៗរបស់វា។

បំបែក PDF ទៅជាទំព័រតាមអ៊ីនធឺណិត
លំនៅដ្ឋាន

បំបែក PDF ទៅជាទំព័រតាមអ៊ីនធឺណិត

HTTP ផ្សាយផ្ទាល់៖ រូបមន្តល្អបំផុត
ក្តារបន្ទះ

HTTP ផ្សាយផ្ទាល់៖ រូបមន្តល្អបំផុត

របៀបនិងប្រភេទណាដើម្បីបង្កើតការចូលនៅលើ Skype
សុវត្ថិភាព

របៀបនិងប្រភេទណាដើម្បីបង្កើតការចូលនៅលើ Skype

តើធ្វើដូចម្តេចដើម្បីទទួលបាន UIN ថ្មីសម្រាប់ ICQ
ការផ្គត់ផ្គង់ថាមពល

តើធ្វើដូចម្តេចដើម្បីទទួលបាន UIN ថ្មីសម្រាប់ ICQ

Xiaomi មិនឃើញកុំព្យូទ័រ មូលហេតុ ដំណោះស្រាយ ទូរស័ព្ទមិនឃើញកុំព្យូទ័រ៖ ពិនិត្យពីកុំព្យូទ័រ
អ៊ីនធឺណិត

Xiaomi មិនឃើញកុំព្យូទ័រ មូលហេតុ ដំណោះស្រាយ ទូរស័ព្ទមិនឃើញកុំព្យូទ័រ៖ ពិនិត្យពីកុំព្យូទ័រ

ក្តារបន្ទះ

"ស្បែកពីប្រភពភាគីទីបីមិនត្រូវបានគាំទ្រទេ" នៅក្នុង MIUI៖ របៀបរំលងការហាមឃាត់

តើ Sony Xperia ផលិតនៅប្រទេសណា?
អ្នកកែច្នៃ

តើ Sony Xperia ផលិតនៅប្រទេសណា?